De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de stappen beschreven die vereist zijn om externe twee-factor-verificatie te configureren voor beheerstoegang op FireSIGHT Management Center (FMC). In dit voorbeeld, authenticeert de FMC-beheerder tegen de ISE-server en wordt een extra authenticatie in de vorm van duw-kennisgeving door de Duo-verificatieproxy naar het mobiele apparaat van de beheerder gestuurd.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Opmerking: De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Om de configuratie te voltooien, moet u rekening houden met deze punten:
Stap 1. Navigeer naar Systeem > Gebruikers > Externe verificatie, maak een externe verificatieobject en stel de verificatiemethode in als RADIUS. Zorg ervoor dat de beheerder is geselecteerd onder Standaardgebruikersrol zoals in de afbeelding:
Opmerking: 10.106.44.177 is het IP-voorbeeldadres van de Duo-verificatieproxy.
Klik op Opslaan en Toepassen negeren de waarschuwing in de afbeelding:
Stap 2. Navigeer naar Systeem > Gebruikers > Gebruikers, maak een gebruiker en controleer de verificatiemethode als extern zoals in de afbeelding:
Stap 1. Download en Installeer de dubbele verificatieproxy-server.
Meld u aan bij de Windows-machine en installeer de Duo-verificatieproxy-server: https://dl.duosecurity.com/duoauthproxy-latest.exe
Aanbevolen wordt een systeem te gebruiken met minimaal 1 CPU, 200 MB schijfruimte en 4 GB RAM
Opmerking: Deze machine moet toegang hebben tot FMC, RADIUS-server (ISE in ons geval) en Duo Cloud (internet)
Stap 2. Configureer het bestand auproxy.cfg.
Open dit bestand in een teksteditor zoals Kladblok+ of WordPad.
Opmerking: de standaardlocatie is te vinden op C:\Program Files (x86)\Duo security verificatie Proxy\conf\authproxy.cfg
Bewerk het bestand van autorproxy.cfg en voeg deze configuratie toe:
[radius_client]
host=10.197.223.23 Sample IP Address of the ISE server
secret=cisco Password configured on the ISE server in order to register the network device
Het IP-adres van de FMC moet samen met de RADIUS-geheime sleutel worden ingesteld.
[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76 IP of FMC
radius_secret_1=cisco Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=
Zorg ervoor dat u de snel-, toets- en api_host-parameters configureren. Om deze waarden te verkrijgen, logt u in op uw Duo-account (https://admin.duosecurity.com) en navigeer naar Toepassingen > Protect an Application. Selecteer vervolgens de RADIUS-verificatietoepassing zoals in de afbeelding:
Integratiesleutel = ikey
geheime sleutel = skey
API hostname = api_host
Stap 3. Start de dubbele security verificatieproxy opnieuw. Sla het bestand op en herstart de Duo-service op het scherm.
Open de Windows Services-console (services.msc), plaats de Duo Security Verification Service in de lijst met services en klik op Start zoals in de afbeelding weer:
Stap 1. Navigeer naar Beheer > Netwerkapparaten, klik op Add om het netwerkapparaat te configureren zoals in de afbeelding:
Opmerking: 10.106.44.177 is het IP-voorbeeldadres van de Duo-verificatieproxy.
Configureer het gedeelde geheim zoals aangegeven in de auproxy.cfg in het geheim zoals in de afbeelding:
Stap 2. Navigeer naar Beheer > Identificaties, klik op Add om de gebruiker Identity te configureren zoals in de afbeelding:
Stap 1. Maak een gebruikersnaam en activeer Duo Mobile op het eindapparaat
Voeg de gebruiker toe op de website van het wolkenbeheer van Duo. Navigeer aan Gebruikers > Voeg gebruikers toe zoals in het beeld:
N.B.: Zorg ervoor dat de eindgebruiker de Duo-app heeft geïnstalleerd.
Handmatige installatie van een Duo-toepassing voor IOS-apparaten
Handmatige installatie van de Duo-toepassing voor androïde apparaten
Stap 2. Automatische generatie van code:
Voeg het telefoonnummer van de gebruiker toe zoals in de afbeelding:
Selecteer Duo activeren zoals in de afbeelding:
Selecteer Generate Duo Mobile Activeringscode zoals in de afbeelding:
Selecteer Instructies via SMS verzenden zoals in de afbeelding:
Klik op de link in het sms-bericht en de app Duo wordt gekoppeld aan de gebruikersaccount in het gedeelte Apparaatinfo, zoals in de afbeelding wordt weergegeven:
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Meld u aan bij het FMC met behulp van uw gebruikersreferenties die op de ISE-pagina met gebruikersidentiteit zijn toegevoegd. U moet een Duo PUSH-melding op uw eindpunt krijgen voor Two Factor Authentication (2FA), goedkeuring ervan en FMC zou inloggen zoals in de afbeelding wordt weergegeven:
Op ISE server navigeer naar Operations > RADIUS > Live Logs, vind de gebruikersnaam gebruikt voor verificatie op FMC en selecteer het detailverificatierapport onder de detailkolom. Hierin moet u controleren of de verificatie is geslaagd zoals in de afbeelding:
Deze sectie verschaft de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
C:\Program Files (x86)\Duo security verificatieproxy
Open het bestand autorproxy.log in een teksteditor zoals Kladblok+ of WordPad.
Logboekfragmenten wanneer injuiste geloofsbrieven worden ingevoerd en authenticatie wordt verworpen door de ISE server.
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 10.197.223.76 is the IP of the FMC 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524) 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani' 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3 10.197.223.23 is the IP of the ISE Server. 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
Logfragmenten van succesvolle authenticatie met ISE en Duo:
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095) 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani' 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137 2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2 <<<< At this point we have got successful authentication from ISE Server. 2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth 2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth> 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth' 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth 2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth> 2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth> 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...' 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept <<<< At this point, user has hit the approve button and the authentication is successful. 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response 2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>