はじめに
このドキュメントでは、Identity Services Engine(ISE)3.3パッチ1をMulti-factor AuthenticationのDUOと統合する方法について説明します。バージョン3.3パッチ1以降では、ISEはDUOサービスとのネイティブ統合用に設定できるため、認証プロキシは不要です。
前提条件
要件
次の項目に関する基本的な知識が推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Cisco ISEバージョン3.3パッチ1
- DUO
- Cisco ASA バージョン 9.16(4)
- Cisco Secure Clientバージョン5.0.04032
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
フロー図
フロー図
手順
0.構成フェーズにはActive Directoryグループの選択が含まれ、そこからユーザが同期されます。同期はMFAウィザードが完了すると行われます。この操作は、次の 2 つの手順からなります。Active Directoryを参照してユーザと特定の属性のリストを取得します。Admin APIを使用したDUO Cloudへの呼び出しは、そこにユーザをプッシュするために行われます。管理者はユーザを登録する必要があります。登録には、Duo Mobileのユーザーをアクティブにするオプションのステップを含めることができます。これにより、ユーザーはDuo Pushでワンタップ認証を使用できます
1. VPN接続が開始され、ユーザがユーザ名とパスワードを入力して「OK」をクリックします。ネットワークデバイスがRADIUS Access-RequestをPSNに送信
2. PSNノードがActive Directory経由でユーザを認証する
3.認証が成功し、MFAポリシーが設定されると、PSNはDUO Cloudに接続するためにPANを開始します
4. DUO Cloud with Auth APIへの呼び出しは、DUOを使用した2段階認証を呼び出すために行われます。ISEはSSL TCPポート443でDuoのサービスと通信します。
5. 2番目の要素認証が行われます。ユーザが2番目の要素の認証プロセスを完了する
6. DUOは、第2要素認証の結果をPANに応答します
7. PANは、第2要素認証の結果をPSNに応答します
8. Access-Acceptがネットワークデバイスに送信され、VPN接続が確立されます
コンフィギュレーション
保護するアプリケーションの選択
DUO Admin Dashboard https://admin.duosecurity.com/loginに移動します。管理者クレデンシャルでログインします。
Dashboard > Applications > Protect an Applicationの順に移動します。Auth APIを探し、Protectを選択します。
認証API 1
統合キーと秘密キーをメモします。
認証API 2
Dashboard > Applications > Protect an Applicationの順に移動します。Admin APIを探し、Protectを選択します。
注:Duo Admin PanelでAdmin APIアプリケーションを作成または変更できるのは、Ownerロールを持つ管理者だけです。
認証API 1
統合キー、秘密キー、およびAPIホスト名をメモします。
管理API 2
API権限の設定
ダッシュボード>アプリケーション>アプリケーションに移動します。Admin APIを選択します。
Grant Read ResourceとGrant Write Resourceのアクセス許可にチェックマークを入れます。Save Changesをクリックします。
管理API 3
ISEとActive Directoryの統合
1. Administration > Identity Management > External Identity Stores > Active Directory > Addの順に移動します。[Join Point Name] と [Active Directory Domain] に入力し、[Submit] をクリックします。
Active Directory 1
2.すべてのISEノードをこのActive Directoryドメインに参加させるプロンプトが表示されたら、Yesをクリックします。
Active Directory 2
3. ADのユーザ名とパスワードを入力し、OKをクリックします。
Active Directory 3
ISEのドメインアクセスに必要なADアカウントは、次のいずれかを持つことができます。
- 各ドメインのドメインユーザ権限にワークステーションを追加する
- ISEマシンのアカウントがドメインに参加する前に作成される各コンピュータコンテナに対するコンピュータオブジェクトの作成またはコンピュータオブジェクトの削除の権限
注:シスコでは、ISEアカウントのロックアウトポリシーを無効にし、誤ったパスワードが管理者に使用された場合にアラートを送信するようにADインフラストラクチャを設定することを推奨します。誤ったパスワードが入力されると、ISEは必要なときにマシンアカウントを作成または変更しないため、すべての認証が拒否される可能性があります。
4. ADのステータスはOperationalです。
Active Directory 4
5. 「グループ」>「追加」>「ディレクトリからグループを選択」>「グループの取得」に移動します。次の図に示すように、選択したADグループ(ユーザの同期と許可ポリシーに使用)に対してチェックボックスをオンにします。
Active Directory 5
6. Saveをクリックして、取得したADグループを保存します。
Active Directory 6
オープンAPIの有効化
Administration > System > Settings > API Settings > API Service Settingsの順に移動します。Open APIを有効にして、Saveをクリックします。
オープンAPI
MFAアイデンティティソースの有効化
Administration > Identity Management > Settings > External Identity Sources Settingsの順に移動します。MFAを有効にして、Saveをクリックします。
ISE MFA 1
MFA外部アイデンティティソースの設定
[Administration] > [Identity Management] > [External Identity Sources] に移動します。[Add] をクリックします。ウェルカム画面でLet's Do Itをクリックします。
ISE DUOウィザード1
次の画面でConnection Nameを設定し、Nextをクリックします。
ISE DUOウィザード2
Select Applications to Protectステップで、API Hostname、Admin API Integration and Secret Keys、Auth API Integration、およびSecret Keysの値を設定します。
ISE DUOウィザード3
Test Connectionをクリックします。Test Connectionが成功したら、Nextをクリックします。
ISE DUOウィザード4
Identity Syncを設定します。このプロセスでは、選択したActive Directoryグループのユーザが、前述したAPIクレデンシャルを使用してDUOアカウントに同期されます。Active Directory Join Pointを選択します。[Next] をクリックします。
注:Active Directoryの設定はこのドキュメントの対象範囲外です。ISEをActive Directoryと統合するには、このドキュメントの説明に従ってください。
ISE DUOウィザード5
ユーザをDUOと同期させるActive Directory Groupsを選択します。[Next] をクリックします。
ISE DUOウィザード6
設定が正しいことを確認して、Doneをクリックします。
ISE DUOウィザード7
ユーザをDUOに登録
注:DUOユーザ登録はドキュメントの範囲外です。ユーザの登録の詳細については、このドキュメントを参照してください。このドキュメントの目的では、手動によるユーザ登録を使用します。
DUO Admin Dashboardを開きます。Dashboard > Usersの順に移動します。ISEから同期されたユーザをクリックします。
DUO登録1
Phonesまでスクロールします。Add Phoneをクリックします。
DUO登録2
電話番号を入力し、電話の追加をクリックします。
ポリシーセットの設定
1.認証ポリシーの設定
Policy > Policy Setの順に移動します。MFAを有効にするポリシーセットを選択します。プライマリ認証IDストアをActive Directoryとして使用して認証ポリシーを設定します。
ポリシーセット1
2. MFAポリシーの設定
MFAがISEで有効になると、ISEポリシーセットの新しいセクションが使用可能になります。MFA Policyを展開し、+をクリックしてMFA Policyを追加します。MFAの設定任意の条件で、DUO-MFAを選択します(前述のUseセクションで設定)。[Save] をクリックします。
ISEポリシー
注:上記で設定したポリシーは、RAという名前のトンネルグループに依存しています。RAトンネルグループに接続されたユーザは、強制的にMFAを実行します。ASA/FTDの設定は、このドキュメントの対象範囲外です。このドキュメントを使用して、ASA/FTDを設定します
3.許可ポリシーの設定
Active Directoryグループの条件と任意の権限を使用して認可ポリシーを設定します。
ポリシーセット3
制限事項
このドキュメントの作成時点:
1.第2の認証方式としてサポートされているのは、DUOプッシュと電話だけです
2. DUO Cloudにプッシュされるグループはありません。ユーザー同期のみがサポートされます
3.次の多要素認証の使用例のみがサポートされています。
確認
Cisco Secure Clientを開き、Connectをクリックします。UsernameとPasswordを入力して、OKをクリックします。
VPN クライアント
ユーザのモバイルデバイスは、DUOプッシュ通知を受信する必要があります。承認します。VPN接続が確立されます。
DUOプッシュ
ISEのOperations > Live Logsの順に移動して、ユーザ認証を確認します。
ライブログ1
Details Authentication Reportをクリックして、Authentication Policy、Authorization Policy、およびAuthorization Resultを確認します。右側の手順をスクロールします。MFAが成功したことを確認するには、次の行が表示されます。
多要素認証が成功しました
ライブログ2
トラブルシュート
ISEで有効にするデバッグ。
使用例 |
ログコンポーネント |
ログファイル |
キーログメッセージ |
MFA関連のログ |
ポリシーエンジン |
ise-psc.log |
DuoMfaAuthApiUtils -::::- Duo Client managerに要求を送信 DuoMfaAuthApiUtils —> Duo応答 |
ポリシー関連のログ |
prrt-JNI |
prrt-management.logに保存します。 |
RadiusMfaPolicyRequestProcessor TacacsMfaPolicyRequestProcessor(オプション) |
認証に関連するログ |
ランタイムAAA |
prrt-server.log(サーバのIPアドレス) |
MfaAuthenticator::onAuthenticateEvent MfaAuthenticator::sendAuthenticateEvent MfaAuthenticator::onResponseEvaluatePolicyEvent |
DUO認証、ID同期に関連するログ |
|
duo-sync-service.log(サービスの二重同期ログ) |
|