FDM의 REST API를 통해 RA VPN용 Duo(LDAP)를 사용한 Multi-factor Authentication

소개

이 문서에서는 REST API를 통해 Duo LDAP(Lightweight Directory Access Protocol) ID 소스 개체를 구성하고 FDM(Firepower Device Manager)에서 관리되는 FTD(Firepower Threat Defense)에서 RA VPN(Remote Access VPN) 연결 프로파일에서 이 개체를 보조 인증 ID 소스로 사용하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• FDM에서 RA VPN 구성에 대한 기본 지식
• REST API 및 FDM REST API 탐색기에 대한 기본 지식
• 버전 6.5.0 이상을 실행하는 Cisco FTD는 Cisco FDM(Firepower Device Manager)에서 관리합니다.
• Export Controlled Features(제어 기능 내보내기)가 활성화된 스마트 라이센싱 포털에 등록된 FTD입니다(RA VPN 컨피그레이션 탭을 사용하도록 허용하기 위해).
• AnyConnect 라이센스 활성화(APEX, Plus 또는 VPN 전용).

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco FTD 실행 버전 6.5.0-115
• Cisco AnyConnect Secure Mobility Clientversion 4.7.01076
• Postman 또는 기타 API 개발 툴 
• Duo 웹 계정 

 이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

FTD 버전 6.5에서 REST API의 도움을 받아 보조 인증을 위해 RA VPN 프로파일에서 직접 Duo LDAP ID 소스 개체를 사용할 수 있습니다.

이 버전 이전의 2단계 인증은 Duo Proxy 및 RADIUS를 통해서만 지원되었습니다.

인증 흐름

인증 흐름 설명

1. 사용자는 FTD에 대한 원격 액세스 VPN 연결을 시작하고 기본 인증을 위한 사용자 이름과 비밀번호를 제공합니다.
2. FTD는 기본 인증 서버로 인증 요청을 보냅니다.
3. 기본 인증이 성공하면 FTD는 Duo LDAP 서버에 보조 인증 요청을 보냅니다.
4. 그런 다음 Duo는 보조 인증(푸시, 비밀번호, 전화)에 대한 입력에 따라 사용자를 인증합니다.
5. Duo는 FTD에 응답하여 사용자가 성공적으로 인증되었는지 여부를 나타냅니다.
6. 보조 인증에 성공하면 FTD는 원격 액세스 VPN 연결을 설정합니다.

구성

구성을 완료하려면 다음 섹션을 고려하십시오.

Duo 관리 포털의 구성

1단계. Duo 계정(https://admin.duosecurity.com)에 로그인합니다.

Applications(애플리케이션) > Protect an Application(애플리케이션 보호)으로 이동합니다.

2단계. Authentication Application(인증 애플리케이션)을 Cisco ASA SSL VPN으로 선택합니다.

통합 키, 비밀 키 및 API 호스트 이름이 사용되고 REST API를 통해 Duo LDAP 개체가 추가됩니다.

참고:Duo를 프록시 서버로 추가하는 데 사용되므로 Cisco Firepower Threat Defense를 선택하지 마십시오.

3단계. 사용자 이름을 생성하고 엔드 디바이스에서 Duo Mobile을 활성화합니다.

Duo 클라우드 관리 웹 페이지에 자신을 추가합니다. [사용자] > [사용자 추가]로 이동합니다.

참고: 최종 사용자에게 Duo 앱이 설치되어 있는지 확인하십시오.

iOS 장치용 Duo 애플리케이션 수동 설치

Android 장치용 Duo 애플리케이션 수동 설치

4단계. 자동 코드 생성을 위한 전화 번호를 추가합니다.

5단계. ActivateDuo Mobile을 선택합니다.

6단계. Generate Duo Mobile Activation Code를 선택합니다. 

7단계. Send Instructions by SMS(SMS로 지침 보내기)를 선택합니다.

8단계. Duo 앱에 등록하려면 SMS에서 링크를 클릭합니다.이미지에 표시된 대로 Device Info(디바이스 정보) 섹션에서 어카운트 세부 정보를 확인할 수 있습니다.

POSTMAN의 컨피그레이션

1단계. 브라우저 창에서 FTD의 API 탐색기를 시작합니다.

https://<FTD Management IP>/api-explorer로 이동합니다.

표시된 컨피그레이션의 경우 다음 URL이 사용됩니다. https://10.197.224.99/api-explorer FTD에서 사용 가능한 전체 API 목록이 포함됩니다.

FDM에서 지원하는 여러 GET/POST/PUT/DELETE 요청이 있는 기본 기능을 기반으로 분할됩니다.

참고:이 예에서는 API로 POSTMAN을 사용했습니다.

2단계. Duo용 Postman 컬렉션을 추가합니다.

컬렉션의 이름을 지정합니다.

Authorization(권한 부여) 탭을 편집하고 유형을 OAuth 2.0으로 업데이트합니다. 

3단계. POST/GET 요청을 승인할 토큰을 가져오기 위해 FTD에 로그인 POST 요청을 생성하려면 새 요청 인증을 추가합니다.

POST 요청의 본문에는 다음이 포함되어야 합니다.

POST 요청:https://<FTD Management IP>/api/fdm/latest/fdm/token

응답 본문에는 FTD에서 PUT/GET/POST 요청을 보내는 데 사용되는 액세스 토큰이 포함되어 있습니다.

4단계. Get Interface 정보 요청을 생성하여 Duo에 연결할 수 있는 인터페이스 세부 정보를 가져옵니다.

Authorization(권한 부여) 탭에는 모든 후속 GET/POST 요청에 대해 다음 항목이 포함되어야 합니다.

5단계. CreateDuoLDAPIdentitySource 요청을 추가하여 Duo LDAP 개체를 만듭니다. 

POST 요청의 본문에는 다음 항목이 포함되어야 합니다.

참고:시간 초과는 이 문서의 목적에 대해 60초로 추가됩니다.네트워크 환경에 따라 설정을 추가하십시오.

POST 요청의 URL 및 샘플 본문은 API 탐색기에서 복사할 수 있습니다. 

POST 요청:https://<FTD Management IP>/api/fdm/latest/object/duoldapidSources

Body of response(응답 본문)는 디바이스에 푸시될 준비가 된 Duo 컨피그레이션을 표시합니다.

FDM 구성

1단계. 디바이스가 Smart Licensing에 등록되었는지 확인합니다.

2단계. 디바이스에서 AnyConnect 라이센스가 활성화되었는지 확인합니다.

3단계. 토큰에서 내보내기 제어 기능이 활성화되어 있는지 확인합니다.

FDM에 Duo 인증서 추가 

SSL을 통한 LDAP가 작동하려면 Duo 웹 사이트에서 CA 인증서를 다운로드하여 FDM에 추가해야 합니다.

1단계. FDM에 로그인한 다음 [객체] > [인증서] > [신뢰할 수 있는 CA 인증서 추가]로 이동합니다.

2단계. 인증서 객체의 이름을 제공하고 https://duo.com에서 다운로드한 CA 인증서를 추가합니다.

3단계. 디바이스에 인증서를 배포합니다.

기본 인증을 위한 로컬 사용자 생성

1단계. Objects(개체) > Users(사용자)로 이동하고 +를 클릭하여 새 사용자를 추가합니다(이미지에 표시됨).

2단계. 사용자 이름과 비밀번호 세부 정보를 추가하고 이미지에 표시된 대로 OK(확인)를 클릭합니다.

참고:이 문서에서는 RA VPN이 이미 구성되어 있다고 가정합니다.  FDM에서 관리되는 FTD에서 RA VPN을 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오.

FDM의 RA VPN에 Duo 객체 바인딩 

1단계. 원격 액세스 VPN에서 Duo 개체를 보조 인증 방법으로 바인딩합니다.

Remote Access VPN(원격 액세스 VPN)으로 이동하고 이미지에 표시된 대로 관련 연결 프로파일을 수정합니다.

LocalIdentitySource를 Primary Identity Source로 선택하고 Duo를 Secondary Identity Source로 선택합니다.다음을 클릭하여 원격 액세스 VPN 마법사를 닫습니다. 

firepower# show vpn-sessiondb anyconnect 

Username     : tazkhan                  Index        : 32
Assigned IP  : 192.168.10.1           Public IP    : 10.65.81.47
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
Bytes Tx     : 149500                 Bytes Rx     : 112471
Group Policy : DfltGrpPolicy          Tunnel Group : SSLVPN
Login Time   : 11:07:09 UTC Mon Oct 9 2019
Duration     : 0h:27m:46s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 00000000000200005d9b1c5d
Security Grp : none                   Tunnel Zone  : 0

firepower# 

firepower# show run aaa-server Duo
aaa-server Duo protocol ldap
aaa-server Duo (outside) host api-f754c261.duosecurity.com
 timeout 60
 server-port 636
 ldap-base-dn dc=DI518DFVL9NBTM06CTQQ,dc=duosecurity,dc=com
 ldap-naming-attribute cn
 ldap-login-password *****
 ldap-login-dn dc=DI518DFVL9NBTM06CTQQ,dc=duosecurity,dc=com
 ldap-over-ssl enable
 server-type auto-detect

    
firepower# show run tunnel-group 
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool anyconnect-pool
secondary-authentication-server-group Duo use-primary-username
tunnel-group SSLVPN webvpn-attributes
group-alias SSLVPN enable
firepower# 

debug ldap 255
debug webvpn anyconnect 255