La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento vengono descritte la configurazione e le best practice per implementare Cisco Duo Multi-Factor Authentication (MFA) con UCS Manager.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Cisco UCS Manager utilizza l'autenticazione a due fattori per gli accessi degli utenti remoti. L'accesso con autenticazione a due fattori richiede una combinazione di nome utente, token e password nel campo della password.
L'autenticazione a due fattori è supportata quando si utilizzano i gruppi di provider RADIUS (Remote Authentication Dial-In User Service) o TACACS+ (Terminal Access Controller Access Control System) con domini di autenticazione designati con autenticazione a due fattori per tali domini. L'autenticazione a due fattori non supporta IPM (Internetwork Performance Monitor) e non è supportata quando il realm di autenticazione è impostato su Lightweight Directory Access Protocol
(LDAP), locale o nessuna.
Con l'implementazione Duo, Multi-Factor Authentication viene eseguito tramite Duo Authentication Proxy, un servizio software locale che riceve richieste di autenticazione dai dispositivi e dalle applicazioni locali tramite RADIUS o LDAP, esegue facoltativamente l'autenticazione primaria sulla directory LDAP o sul server di autenticazione RADIUS e quindi contatta Duo per eseguire l'autenticazione secondaria. Una volta che l'utente approva la richiesta a due fattori, che viene ricevuta come notifica push da Duo Mobile, o come chiamata telefonica, ecc, il proxy Duo restituisce l'approvazione di accesso al dispositivo o all'applicazione che ha richiesto l'autenticazione.
Questa configurazione soddisfa i requisiti per la corretta implementazione di Duo con UCS Manager tramite LDAP e Radius.
Nota: Per la configurazione di base del proxy di autenticazione Duo, consultare le linee guida Duo Proxy: Duo Proxy Document
Selezionare UCS Manager > Admin Section > User Management > LDAP e abilitare LDAP Providers SSL. Ciò significa che la crittografia è necessaria per le comunicazioni con il database LDAP. LDAP utilizza STARTTLS. Ciò consente la comunicazione crittografata tramite la porta utente 389. Cisco UCS negozia una sessione TLS (Transport Layer Security) sulla porta 636 per SSL, ma la connessione iniziale viene avviata senza crittografia sulla porta 389.
Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
Base DN: Specify DN path
Port: 389 or whatever your preference is for STARTTLS traffic.
Timeout: 60 seconds
Vendor: MS AD
Nota: STARTTLS funziona su una porta LDAP standard, quindi a differenza di LDAPS, le integrazioni STARTTLS utilizzano il campo port= e non ssl_port= sul proxy di autenticazione Duo.
[ldap_server_auto]
ikey=
skey_protected= ==
api_host=api.XXXXXX.duosecurity.com
client=ad_client1
failmode=secure
port=389 or the port of your LDAP or STARTTLS traffic.
ssl_port=636 or the port of your LDAPS traffic.
allow_unlimited_binds=true
exempt_primary_bind=false
ssl_key_path=YOURPRIVATE.key
ssl_cert_path=YOURCERT.pem
exempt_primary_bind=false
exempt_ou_1=full DN path
Selezionare UCS Manager > Admin > User Management > Radius e fare clic su Radius Providers:
Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
Timeout: 60 seconds
Retries: 3
[radius_server_auto]
ikey=DIXXXXXXXXXXXXXXXXXX
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
api_host=api-XXXXXXXX.duosecurity.com
radius_ip_1=5.6.7.8
radius_secret_1=radiussecret1
client=ad_client
port=18121
failmode=safe
Distribuire il proxy di autenticazione in una rete interna firewall che:
Passaggio 2. Fare clic su Ripristino, quindi configurare le opzioni per riavviare il servizio dopo gli errori.
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Non sono attualmente disponibili informazioni specifiche per la risoluzione dei problemi per questa configurazione.