Dubbele twee-factor verificatie voor FireSIGHT Management Center Access configureren

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juli 2020
Document-id:214756

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de stappen beschreven die vereist zijn om externe twee-factor-verificatie te configureren voor beheerstoegang op FireSIGHT Management Center (FMC). In dit voorbeeld, authenticeert de FMC-beheerder tegen de ISE-server en wordt een extra authenticatie in de vorm van duw-kennisgeving door de Duo-verificatieproxy naar het mobiele apparaat van de beheerder gestuurd.

    Voorwaarden 

    Vereisten 

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Firepower Management Center (FMC) objectconfiguratie
    • Beheer van Identity Services Engine (ISE)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Firepower Management Center (FMC) versie 6.3.0
    • Cisco Identity Services Engine (ISE) versie 2.6.0.156
    • Windows Machine (met Windows 7) met connectiviteit op FMC, ISE en het internet om op te treden als de proxy voor Duo-verificatie
    • Windows-machine om toegang te krijgen tot FMC, ISE en Duo-beheerportal
    • Dubbele webaccount

    Opmerking: De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Verificatiestroom

    Verificatiesnelheid verklaard

    1. Primaire verificatie gestart op Cisco FMC
    2. Cisco FMC stuurt een verificatieaanvraag naar de Duo-verificatieproxy
    3. Primaire verificatie moet actieve map of RADIUS gebruiken
    4. Duo-verificatieproxy-verbinding ingesteld op Duo Security over TCP-poort 443
    5. Secundaire verificatie via de dienst van Duo Security
    6. Duo-authenticatie-proxy ontvangt de authenticatiereactie
    7. Cisco FMC GUI-toegang wordt verleend

    Configureren

    Om de configuratie te voltooien, moet u rekening houden met deze punten:

    Configuratiestappen op FMC

    Stap 1. Navigeer naar Systeem > Gebruikers > Externe verificatie, maak een externe verificatieobject en stel de verificatiemethode in als RADIUS. Zorg ervoor dat de beheerder is geselecteerd onder Standaardgebruikersrol zoals in de afbeelding:

    Opmerking: 10.106.44.177 is het IP-voorbeeldadres van de Duo-verificatieproxy.

    Klik op Opslaan en Toepassen negeren de waarschuwing in de afbeelding:

    Stap 2. Navigeer naar Systeem > Gebruikers > Gebruikers, maak een gebruiker en controleer de verificatiemethode als extern zoals in de afbeelding:

         

    Stap 1. Download en Installeer de dubbele verificatieproxy-server.

    Meld u aan bij de Windows-machine en installeer de Duo-verificatieproxy-server: https://dl.duosecurity.com/duoauthproxy-latest.exe

    Aanbevolen wordt een systeem te gebruiken met minimaal 1 CPU, 200 MB schijfruimte en 4 GB RAM

    Opmerking: Deze machine moet toegang hebben tot FMC, RADIUS-server (ISE in ons geval) en Duo Cloud (internet)

    Stap 2. Configureer het bestand auproxy.cfg.

    Open dit bestand in een teksteditor zoals Kladblok+ of WordPad.

    Opmerking: de standaardlocatie is te vinden op C:\Program Files (x86)\Duo security verificatie Proxy\conf\authproxy.cfg

    Bewerk het bestand van autorproxy.cfg en voeg deze configuratie toe:

    [radius_client]
    host=10.197.223.23                 Sample IP Address of the ISE server
    secret=cisco                       Password configured on the ISE server in order to register the network device

    Het IP-adres van de FMC moet samen met de RADIUS-geheime sleutel worden ingesteld.

    [radius_server_auto]
    ikey=xxxxxxxxxxxxxxx
    skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
    api_host=api-xxxxxxxx.duosecurity.com
    radius_ip_1=10.197.223.76           IP of FMC
    radius_secret_1=cisco               Radius secret key used on the FMC
    failmode=safe
    client=radius_client
    port=1812
    api_timeout=

    Zorg ervoor dat u de snel-, toets- en api_host-parameters configureren. Om deze waarden te verkrijgen, logt u in op uw Duo-account (https://admin.duosecurity.com) en navigeer naar Toepassingen > Protect an Application. Selecteer vervolgens de RADIUS-verificatietoepassing zoals in de afbeelding:

    Integratiesleutel = ikey

    geheime sleutel = skey

    API hostname = api_host

    Stap 3. Start de dubbele security verificatieproxy opnieuw. Sla het bestand op en herstart de Duo-service op het scherm.

    Open de Windows Services-console (services.msc), plaats de Duo Security Verification Service in de lijst met services en klik op Start zoals in de afbeelding weer:

    Configuratiestappen op ISE

    Stap 1. Navigeer naar Beheer > Netwerkapparaten, klik op Add om het netwerkapparaat te configureren zoals in de afbeelding:

    Opmerking: 10.106.44.177 is het IP-voorbeeldadres van de Duo-verificatieproxy.

    Configureer het gedeelde geheim zoals aangegeven in de auproxy.cfg in het geheim zoals in de afbeelding:

    Stap 2. Navigeer naar Beheer > Identificaties, klik op Add om de gebruiker Identity te configureren zoals in de afbeelding:

    Configuratiestappen op Duo-beheerportal

    Stap 1. Maak een gebruikersnaam en activeer Duo Mobile op het eindapparaat

    Voeg de gebruiker toe op de website van het wolkenbeheer van Duo. Navigeer aan Gebruikers > Voeg gebruikers toe zoals in het beeld:

       

    N.B.: Zorg ervoor dat de eindgebruiker de Duo-app heeft geïnstalleerd.

    Handmatige installatie van een Duo-toepassing voor IOS-apparaten

    Handmatige installatie van de Duo-toepassing voor androïde apparaten

    Stap 2. Automatische generatie van code:

    Voeg het telefoonnummer van de gebruiker toe zoals in de afbeelding:

    Selecteer Duo activeren zoals in de afbeelding: 

    Selecteer Generate Duo Mobile Activeringscode zoals in de afbeelding: 

    Selecteer Instructies via SMS verzenden zoals in de afbeelding: 

    Klik op de link in het sms-bericht en de app Duo wordt gekoppeld aan de gebruikersaccount in het gedeelte Apparaatinfo, zoals in de afbeelding wordt weergegeven:

    Verifiëren

    Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

    Meld u aan bij het FMC met behulp van uw gebruikersreferenties die op de ISE-pagina met gebruikersidentiteit zijn toegevoegd. U moet een Duo PUSH-melding op uw eindpunt krijgen voor Two Factor Authentication (2FA), goedkeuring ervan en FMC zou inloggen zoals in de afbeelding wordt weergegeven: 

    Op ISE server navigeer naar Operations > RADIUS > Live Logs, vind de gebruikersnaam gebruikt voor verificatie op FMC en selecteer het detailverificatierapport onder de detailkolom. Hierin moet u controleren of de verificatie is geslaagd zoals in de afbeelding: 

    Problemen oplossen

    Deze sectie verschaft de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

    • Controleer de specificaties op de Duo-verificatieproxy server. De logbestanden bevinden zich op de volgende locatie:

         C:\Program Files (x86)\Duo security verificatieproxy

         Open het bestand autorproxy.log in een teksteditor zoals Kladblok+ of WordPad.

    Logboekfragmenten wanneer injuiste geloofsbrieven worden ingevoerd en authenticatie wordt verworpen door de ISE server.

    2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
    • Op ISE, navigeer naar Operations > RADIUS > Live Logs om de echtheidsdetails te controleren.

    Logfragmenten van succesvolle authenticatie met ISE en Duo:

    2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Created by Chakshu Piplani
      Technische adviserende ingenieur
    • Created by Rohan Biswas
      Technische adviserende ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten