Firepower Management Center 관리 액세스를 위한 Duo Two-Factor Authentication 구성

소개

이 문서에서는 FMC(Firepower Management Center)에서 관리 액세스를 위해 외부 2단계 인증을 구성하는 데 필요한 단계에 대해 설명합니다. 이 예에서는 FMC 관리자가 ISE 서버에 대해 인증하고 푸시 알림 형태의 추가 인증이 Duo 인증 프록시 서버에서 관리자의 모바일 디바이스로 전송됩니다.

사전 요구 사항 

요구 사항 

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• FMC(Firepower Management Center) 개체 컨피그레이션
• ISE(Identity Services Engine) 관리

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 버전 6.3.0을 실행하는 Cisco FMC(Firepower Management Center)
• 버전 2.6.0.156을 실행하는 Cisco ISE(Identity Services Engine)
• FMC, ISE 및 인터넷에 연결하여 Duo 인증 프록시 서버 역할을 하는 Windows Machine(Windows 7 실행 중)
• FMC, ISE 및 Duo 관리 포털에 액세스하기 위한 Windows 시스템
• Duo 웹 계정

참고:이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

인증 흐름

인증 흐름 설명

1. Cisco FMC에 대한 기본 인증 시작
2. Cisco FMC는 Duo Authentication Proxy에 인증 요청을 보냅니다.
3. 기본 인증에서는 Active Directory 또는 RADIUS를 사용해야 합니다.
4. TCP 포트 443을 통해 Duo Security에 설정된 Duo 인증 프록시 연결
5. Duo Security의 서비스를 통한 보조 인증
6. Duo 인증 프록시가 인증 응답을 수신함
7. Cisco FMC GUI 액세스 권한 부여

구성

구성을 완료하려면 다음 섹션을 고려하십시오.

FMC의 구성 단계

1단계. System(시스템) > Users(사용자) > External Authentication(외부 인증), Create an External Authentication Object(외부 인증 개체 생성) 및 Authentication Method(인증 방법)를 RADIUS로 설정합니다. 다음 이미지에 표시된 대로 Default User Role(기본 사용자 역할)에서 Administrator(관리자)가 선택되었는지 확인합니다.

참고:10.106.44.177은 Duo Authentication Proxy 서버의 샘플 IP 주소입니다.

Save and Apply(저장 및 적용)를 클릭하고 이미지에 표시된 대로 경고를 무시합니다.

2단계. 이미지에 표시된 대로 System(시스템) > Users(사용자) > Users(사용자), Create a User(사용자 생성)로 이동하고 Authentication Method(인증 방법)를 External(외부)로 선택합니다.

     

1단계. Duo 인증 프록시 서버를 다운로드하고 설치합니다.

Windows 시스템에 로그인하여 Duo 인증 프록시 서버를 설치합니다. https://dl.duosecurity.com/duoauthproxy-latest.exe

CPU 1개 이상, 디스크 공간 200MB 및 4GB RAM이 있는 시스템을 사용하는 것이 좋습니다.

참고:이 시스템은 FMC, RADIUS 서버(ISE의 경우) 및 Duo Cloud(인터넷)에 액세스할 수 있어야 합니다.

2단계. authproxy.cfg 파일을 구성합니다.

Notepad+ 또는 WordPad와 같은 텍스트 편집기에서 이 파일을 엽니다.

참고: 기본 위치는 C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg에 있습니다.

authproxy.cfg 파일을 편집하고 다음 구성을 추가합니다.

[radius_client]
host=10.197.223.23                 Sample IP Address of the ISE server
secret=cisco                       Password configured on the ISE server in order to register the network device 

FMC의 IP 주소는 RADIUS 비밀 키와 함께 구성해야 합니다.

[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76           IP of FMC
radius_secret_1=cisco               Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=

ikey, key 및 api_host 매개변수를 구성해야 합니다.이러한 값을 얻으려면 Duo 계정(https://admin.duosecurity.com)에 로그인하여 Applications > Protect an Application으로 이동합니다.그런 다음 이미지에 표시된 대로 RADIUS 인증 애플리케이션을 선택합니다.

통합 키 = 키

비밀 키 = 키

API 호스트 이름 = api_host

3단계. Duo 보안 인증 프록시 서비스를 다시 시작합니다.파일을 저장하고 Windows 시스템에서 Duo 서비스를 다시 시작합니다.

Windows 서비스 콘솔(services.msc)을 열고 서비스 목록에서 Duo Security Authentication Proxy Service를 찾은 다음 이미지에 표시된 대로 다시 시작을 클릭합니다.

ISE의 구성 단계

1단계. Administration(관리) > Network Devices(네트워크 디바이스)로 이동하고 Add(추가)를 클릭하여 이미지에 표시된 대로 네트워크 디바이스를 구성합니다.

참고:10.106.44.177은 Duo Authentication Proxy 서버의 샘플 IP 주소입니다.

이미지에 표시된 대로 authproxy.cfg에 설명된 대로 비밀으로 공유 암호를 구성합니다.

2단계. Administration(관리) > Identities(ID)로 이동하고 Add(추가)를 클릭하여 이미지에 표시된 대로 ID 사용자를 구성합니다.

Duo 관리 포털의 구성 단계

1단계. 사용자 이름을 생성하고 엔드 디바이스에서 Duo Mobile을 활성화합니다.

Duo 클라우드 관리 웹 페이지에서 사용자를 추가합니다. 이미지에 표시된 대로 사용자 > 사용자 추가로 이동합니다.

   

참고: 최종 사용자에게 Duo 앱이 설치되어 있는지 확인하십시오.

IOS 장치용 Duo 애플리케이션 수동 설치

Android 장치용 Duo 애플리케이션 수동 설치

2단계. 코드 자동 생성:

이미지에 표시된 대로 사용자의 전화 번호를 추가합니다.

이미지에 표시된 대로 Activate Duo Mobile을 선택합니다. 

이미지에 표시된 대로 Generate Duo Mobile Activation Code(Duo 모바일 활성화 코드 생성)를 선택합니다. 

이미지에 표시된 대로 Send Instructions by SMS(SMS로 지침 보내기)를 선택합니다. 

SMS에서 링크를 클릭하면 Duo 앱이 이미지에 표시된 대로 Device Info 섹션의 사용자 계정에 연결됩니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

ISE 사용자 ID 페이지에 추가된 사용자 자격 증명을 사용하여 FMC에 로그인합니다.2FA(Two Factor Authentication)에 대한 엔드포인트에서 Duo PUSH 알림을 받아야 하며, 이를 승인하고 FMC는 이미지에 표시된 대로 로그인합니다. 

ISE 서버에서 Operations(작업) > RADIUS > Live Logs(라이브 로그)로 이동하여 FMC에서 인증에 사용되는 사용자 이름을 찾고 detail(세부) 열 아래에서 세부 인증 보고서를 선택합니다.여기에서 이미지에 표시된 대로 인증이 성공했는지 확인해야 합니다. 

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

• 듀오 인증 프록시 서버의 디버그를 확인합니다.로그는 다음 위치에 있습니다.

     C:\Program Files (x86)\Duo 보안 인증 프록시\log

     Notepad++ 또는 WordPad와 같은 텍스트 편집기에서 authproxy.log 파일을 엽니다.

잘못된 자격 증명을 입력하고 ISE 서버에서 인증을 거부할 경우 로그 조각

2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response

• ISE에서 Operations(작업) > RADIUS > Live Logs(라이브 로그)로 이동하여 인증 세부 정보를 확인합니다.

ISE 및 Duo를 사용한 성공적인 인증의 로그 조각:

2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

관련 정보

• Duo를 사용한 RA VPN 인증
• 기술 지원 및 문서 − Cisco Systems