Duo-integratie configureren met AD en ISE voor 2-factorverificatie

Downloadopties

  • PDF     (4.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (4.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (3.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 juli 2025
Document-id:217739

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt Duo-pushintegratie met Active Directory (AD) en ISE beschreven als 2-factorverificatie voor AnyConnect-clients die zijn verbonden met ASA.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • RA VPN-configuratie op Adaptive Security Appliance (ASA)
    • RADIUS-configuratie op ASA
    • Identity Services Engine (ISE)
    • Active Directory (AD)
    • Duo-toepassingen

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Microsoft 2016 Server
    • ASA 9.14(3)18 
    • ISE-server 3.0
    • Duo-server
    • Duo Authentication Proxy Manager

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Netwerkdiagram en scenario

    Network Diagram

    communicatieproces

    Duo Two-Factor RADIUS-verificatie voor Cisco ISE:

    1. Primaire verificatie gestart bij Cisco ISE.
    2. Cisco ASA verzendt een verificatieverzoek naar de Duo Authentication Proxy.
    3. Bij primaire verificatie wordt Active Directory of RADIUS gebruikt.
    4. Duo Authentication Proxy-verbinding tot stand gebracht met Duo Security via TCP-poort 443.
    5. Secundaire verificatie via de service van Duo Security.
    6. Duo-verificatieproxy ontvangt verificatierespons.
    7. Cisco ISE-toegang verleend.

    Gebruikersaccounts:

    • Active Directory Admin: Dit wordt gebruikt als de directory-account zodat de Duo Auth Proxy zich kan binden aan de Active Directory-server voor primaire verificatie.
    • Active Directory-testgebruiker
    • Duo-testgebruiker voor secundaire verificatie

    Active Directory-configuraties

    Windows-server is vooraf geconfigureerd met Active Directory Domain-services.

    Opmerking: Als RADIUS Duo Auth Proxy Manager op dezelfde Active Directory-hostcomputer wordt uitgevoerd, moeten de NPS-rollen (Network Policy Server) worden verwijderd. Als beide RADIUS-services worden uitgevoerd, kunnen ze conflicteren en de prestaties beïnvloeden. 

    Om AD-configuratie voor verificatie en gebruikersidentiteit op Remote Access VPN-gebruikers te bereiken, zijn een paar waarden vereist.

    Al deze gegevens moeten worden gemaakt of verzameld op de Microsoft Server voordat de configuratie kan worden gedaan op de ASA en Duo Auth proxy server.

    De belangrijkste waarden zijn:

    • Domeinnaam. Dit is de domeinnaam van de server. In deze configuratiehandleiding is agarciam.cisco de domeinnaam.
    • IP-adres van de server/volledig gekwalificeerd domeinnaam (FQDN). Het IP-adres of FQDN dat wordt gebruikt om de Microsoft-server te bereiken. Als een FQDN wordt gebruikt, moet een DNS-server worden geconfigureerd binnen ASA en Duo Auth proxy om de FQDN op te lossen.

        In deze configuratiehandleiding is deze waarde agarciam.cisco (die oplost tot 10.28.17.107).

    • Serverpoort. De haven die wordt gebruikt door de LDAP-service. Standaard gebruiken LDAP en STARTTLS TCP-poort 389 voor LDAP en LDAP over SSL (LDAPS) gebruikt TCP-poort 636.
    • Root CA. Als LDAPS of STARTTLS wordt gebruikt, is de root-CA vereist die wordt gebruikt om het SSL-certificaat te ondertekenen dat door LDAPS wordt gebruikt.
    • Directory gebruikersnaam en wachtwoord. Dit is de account die door de Duo Auth-proxyserver wordt gebruikt om zich aan de LDAP-server te binden en gebruikers te verifiëren en naar gebruikers en groepen te zoeken.
    • Base en Group Distinguished Name (DN) De Base DN is het vertrekpunt voor Duo Auth proxy en vertelt de Active Directory om te beginnen met het zoeken naar en authenticeren van gebruikers.

       

    In deze configuratiehandleiding wordt het hoofddomein agarciam.cisco gebruikt als basis-DN en is DN Group Duo-USERS.

    1. Om een nieuwe Duo-gebruiker toe te voegen, bladert u op Windows Server naar het Windows-pictogram linksonder en klikt u op Windows-beheerprogramma's, zoals weergegeven in de afbeelding.

    Windows Administrative

    2. Navigeer in het venster Windows-beheerprogramma's naar Active Directory-gebruikers en -computers

    Vouw in het deelvenster Gebruikers en computers van Active Directory de domeinoptie uit en navigeer naar de map Gebruikers.

    In dit configuratievoorbeeld wordt Duo-USERS gebruikt als de doelgroep voor secundaire verificatie.

    Active Directory

    3. Klik met de rechtermuisknop op de map Gebruikers en selecteer Nieuw > Gebruiker, zoals weergegeven in de afbeelding.

    User Creation

    4. Geef in het venster Nieuw object-gebruiker de identiteitskenmerken voor deze nieuwe gebruiker op en klik op Volgende, zoals in de afbeelding wordt weergegeven.

    User Setup 1

    5. Bevestig het wachtwoord en klik op Volgende, en Voltooi vervolgens zodra de gebruikersgegevens zijn geverifieerd.

    User Setup 2

    6. Wijs de nieuwe gebruiker toe aan een specifieke groep, klik met de rechtermuisknop en selecteer Toevoegen aan een groep, zoals in de afbeelding wordt weergegeven.

    Add to Group

    7. Typ in het deelvenster Groepen selecteren de naam van de gewenste groep en klik op Namen controleren.

    Selecteer vervolgens de naam die overeenkomt met uw criteria en klik op OK.

    Check Names

    8. Dit is de gebruiker die in dit document als voorbeeld wordt gebruikt.

    DUO-configuraties

    1. Meld u aan bij uw Duo Admin-portal.

    Duo Login Page

    2.Navigeer in het linkerdeelvenster naar Gebruikers, klik op Gebruiker toevoegen en typ de naam van de gebruiker die overeenkomt met onze Active Domain-gebruikersnaam en klik vervolgens op Gebruiker toevoegen.

    Duo Users 1

    3. Vul in het nieuwe gebruikerspaneel alle benodigde informatie in.

    Duo Users 2

    4. Geef onder Gebruikersinstellingen de secundaire verificatiemethode op.

    Opmerking: In dit document wordt de methode Duo push voor mobiele apparaten gebruikt, dus moet een telefoonapparaat worden toegevoegd.

    Klik op Telefoon toevoegen.

    Add Phone 1

    5. Typ het telefoonnummer van de gebruiker en klik op Telefoon toevoegen.

    Add Phone 2

    6. Navigeer in het linkerdeelvenster Duo-beheer naar Gebruikers en klik op de nieuwe gebruiker.

    Duo User

    Opmerking: Als u op dit moment geen toegang hebt tot uw telefoon, kunt u de e-mailoptie selecteren.

    7.Navigeer naar het gedeelte Telefoons en klik op Duo Mobile activeren.

    Phones

    8. Klik op Mobiele activeringscode van Duo genereren.

    Activate Duo

    9. Selecteer E-mail om de instructies via e-mail te ontvangen, typ uw e-mailadres en klik op Instructies per e-mail verzenden.

    Email Instructions

    10. U ontvangt een e-mail met de instructies, zoals weergegeven in de afbeelding.

    Email Duo

    11. Open de Duo Mobile App vanaf uw mobiele apparaat en klik op Toevoegen, selecteer vervolgens QR-code gebruiken en scan de code in de e-mailinstructies.

    12. Nieuwe gebruiker wordt toegevoegd aan uw Duo Mobile App.

    Duo Auth-proxyconfiguratie

    1. Download en installeer Duo Auth Proxy Manager van Cisco Duo Authentication. 

    Opmerking: In dit document wordt de Duo Auth Proxy Manager geïnstalleerd op dezelfde Windows Server waarop Active Directory-services worden gehost. 

    2. Navigeer in het paneel Duo Admin naar Toepassingen en klik op Een toepassing beveiligen.

    Proxy Config

    3. Zoek in de zoekbalk naar Cisco ISE Radius.

    Protect Application

    4. Kopieer de integratiesleutel, de geheime sleutel en de API-hostnaam. U hebt deze informatie nodig voor de configuratie van de Duo Authentication Proxy.

    Cisco ISE

    5. Voer de toepassing Duo Authentication Proxy Manager uit en voltooi de configuratie voor zowel Active Directory-client als ISE Radius Server en klik op Valideren.

    Opmerking: als de validatie niet succesvol is, raadpleegt u het tabblad Foutopsporing voor meer informatie en corrigeert u dienovereenkomstig.

    Validation

    Cisco ISE-configuraties

    1. Log in op de ISE Admin portal.

    2.Vouw het tabblad Cisco ISE uit en navigeer naar Beheer, klik vervolgens op Netwerkbronnen en klik op Externe RADIUS-servers.

    Cisco ISE

    3. Klik op het tabblad Externe radiusservers op Toevoegen.

    Radius Servers

    4. Vul het lege veld in met de RADIUS-configuratie die wordt gebruikt in de Duo Authentication Proxy Manager en klik op Indienen.

    Validation

    5. Navigeer naar het tabblad RADIUS-serverreeksen en klik op Toevoegen.

    Radius Servers Sequence 1

    6. Geef de naam van de reeks op en wijs de nieuwe RADIUS External-server toe. Klik op Indienen.

    Radius Servers Sequence 2

    7. Navigeer vanuit het Dashboard-menu naar Beleid en klik op Beleidsreeksen.

    Policy Sets

    8. Wijs de RADIUS-reeks toe aan het standaardbeleid.

    Opmerking: in dit document wordt de Duo-reeks op alle verbindingen toegepast, dus wordt het standaardbeleid gebruikt. Beleidstoewijzing kan variëren volgens de vereisten.

    Default Policy Sets

    Cisco ASA RADIUS/ISE-configuratie

    1. Als u ISE RADIUS Server wilt configureren onder AAA-servergroepen, gaat u naar Configuratie, klikt u vervolgens op Apparaatbeheer, vouwt u de sectie Gebruikers/AAA uit en selecteert u AAA-servergroepen.

    Configuration

    2. Klik in het deelvenster AAA-servergroepen op Toevoegen.

    AAA Server Groups

    3. Selecteer de naam van de servergroep en geef RADIUS op als het te gebruiken protocol en klik vervolgens op OK.

    AAA Server Groups Config

    5. Selecteer de nieuwe servergroep en klik op Toevoegen onder de Servers in het deelvenster Geselecteerde groep, zoals in de afbeelding wordt weergegeven.

    AAA Server Groups ISE

    6. Selecteer in het venster AAA-server bewerken de naam van de interface, geef het IP-adres van de ISE-server op en typ de geheime RADIUS-sleutel en klik op OK.

    Opmerking: al deze informatie moet overeenkomen met de informatie die is opgegeven in Proxybeheer voor dubbele verificatie.

    Edit AAA Server

    CLI-configuratie

    aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

    Cisco ASA Remote Access VPN-configuratie

    
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

    testen

    1. Open de Anyconnect-app op uw pc-apparaat. Geef de hostnaam van de VPN ASA Headend op en log in met de gebruiker die is gemaakt voor de secundaire verificatie van Duo en klik op OK.

    VPN

    2. U hebt een Duo-pushmelding ontvangen op het opgegeven Duo Mobile-apparaat van de gebruiker.

    3. Open de melding voor de Duo Mobile App en klik op Goedkeuren.

    Verify Identity

    Verify Identity Approve

    4. Accepteer de banner en de verbinding wordt tot stand gebracht.

    VPN Connection

    VPN Connection Accept

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    Duo Authentication Proxy wordt geleverd met een debug-tool die fouten en fouten weergeeft.

    Werkfouten

    Opmerking: De volgende informatie wordt opgeslagen in C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.log.

    Output 1

    Output 2

    Output 3

    Output 4

    1. Connectiviteitsproblemen, verkeerde IP, niet-oplosbare FQDN/hostnaam in Active Directory-configuratie.

    Output 5

    Output 6

    2. Verkeerd wachtwoord voor de gebruiker Administrator in Active Directory.

    Output 7

    Debugs

    Output 8

    3. Verkeerd basisdomein

    Output 9

    Debugs

    Output 10

    4. Verkeerde waarde voor sleutelradius

    Output 11

    Debugs

    Output 12

    5. Controleer of ISE Server Access-Request-pakketten verzendt.

    Pcap

    6. Om te bevestigen dat de Duo Authentication Proxy-server werkt, biedt Duo de tool NTRadPing om Access-request-pakketten en de respons met Duo te simuleren.

         6.1 Installeer NTRadPing op een andere pc en genereer verkeer.

    Opmerking: In dit voorbeeld wordt het Windows-systeem 10.28.17.3 gebruikt.

         6.2 Configureer met de attributen die worden gebruikt in de configuratie ISE Radius.

    Attributes ISE

         6.3 Configureer de Duo Authentication Proxy Manager als volgt.

    Duo Auth

         6.4. Navigeer naar uw NTRadPing-tool en klik op Verzenden. U ontvangt een Duo-pushmelding op het toegewezen mobiele apparaat.

    NTRadPing

    Pcap2

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    10-Jul-2025
    Bijgewerkte alt-tekst, links, acroniemen, stijlvereisten, spelling en opmaak.
    2.0
    18-Apr-2023
    hercertificering
    1.0
    15-Mar-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Alan Omar Garcia
      Customer Experience Customer Success Specialist

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten