Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration et les meilleures pratiques pour mettre en oeuvre Cisco Duo Multi-Factor Authentication (MFA) avec UCS Manager.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Cisco UCS Manager utilise une authentification à deux facteurs pour les connexions utilisateur distantes. La connexion d'authentification à deux facteurs nécessite un nom d'utilisateur, un jeton et une combinaison de mot de passe dans le champ de mot de passe.
L'authentification à deux facteurs est prise en charge lorsque vous utilisez les groupes de fournisseurs RADIUS (Remote Authentication Dial-In User Service) ou TACACS+ (Terminal Access Controller Access Control System) avec des domaines d'authentification désignés avec authentification à deux facteurs pour ces domaines. L'authentification à deux facteurs ne prend pas en charge l'IPM (Internetwork Performance Monitor) et n'est pas prise en charge lorsque le domaine d'authentification est défini sur Lightweight Directory Access Protocol
(LDAP), local ou aucun.
Avec la mise en oeuvre de Duo, l'authentification multifacteur est effectuée via le proxy d'authentification Duo, qui est un service logiciel local qui reçoit des demandes d'authentification de vos périphériques et applications locaux via RADIUS ou LDAP, effectue éventuellement une authentification primaire sur votre répertoire LDAP ou votre serveur d'authentification RADIUS, puis contacte Duo pour effectuer une authentification secondaire. Une fois que l'utilisateur a approuvé la demande à deux facteurs, qui est reçue en tant que notification push de Duo Mobile, ou en tant qu'appel téléphonique, etc., le proxy Duo retourne l'approbation d'accès au périphérique ou à l'application qui a demandé l'authentification.
Cette configuration couvre les exigences d'une mise en oeuvre Duo réussie avec UCS Manager via LDAP et Radius.
Note: Pour la configuration de base du proxy d'authentification Duo, consultez les directives du proxy Duo : Document du proxy Duo
Accédez à UCS Manager > Admin Section > User Management > LDAP et activez LDAP Providers SSL, ce qui signifie que le chiffrement est requis pour les communications avec la base de données LDAP. LDAP utilise STARTTLS. Cela permet la communication cryptée par le port d'utilisation 389. Cisco UCS négocie une session TLS (Transport Layer Security) sur le port 636 pour SSL, mais la connexion initiale démarre non chiffrée sur le port 389.
Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
Base DN: Specify DN path
Port: 389 or whatever your preference is for STARTTLS traffic.
Timeout: 60 seconds
Vendor: MS AD
Note: STARTTLS fonctionne sur un port LDAP standard, donc contrairement à LDAPS, les intégrations STARTTLS utilisent le champ port= non ssl_port= sur le proxy d'authentification Duo.
[ldap_server_auto]
ikey=
skey_protected= ==
api_host=api.XXXXXX.duosecurity.com
client=ad_client1
failmode=secure
port=389 or the port of your LDAP or STARTTLS traffic.
ssl_port=636 or the port of your LDAPS traffic.
allow_unlimited_binds=true
exempt_primary_bind=false
ssl_key_path=YOURPRIVATE.key
ssl_cert_path=YOURCERT.pem
exempt_primary_bind=false
exempt_ou_1=full DN path
Accédez à UCS Manager > Admin > User Management > Radius et cliquez sur Radius Providers :
Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
Timeout: 60 seconds
Retries: 3
[radius_server_auto]
ikey=DIXXXXXXXXXXXXXXXXXX
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
api_host=api-XXXXXXXX.duosecurity.com
radius_ip_1=5.6.7.8
radius_secret_1=radiussecret1
client=ad_client
port=18121
failmode=safe
Déployer le proxy d'authentification dans un réseau interne pare-feu qui :
Étape 2. Cliquez sur Récupération, puis configurez les options pour redémarrer le service après les échecs.
Aucune procédure de vérification n'est disponible pour cette configuration.
Aucune information de dépannage spécifique n'est actuellement disponible pour cette configuration.