- Autenticação primária iniciada no Cisco ISE
- O Cisco ASA envia a solicitação de autenticação ao Proxy de Autenticação Duo
- A autenticação primária usa o Ative Diretory ou o RADIUS
- Conexão de Proxy de Autenticação Duo estabelecida para Segurança Duo sobre a porta TCP 443
- Autenticação secundária por meio do serviço Duo Security
- O proxy de autenticação Duo recebe a resposta de autenticação
- Acesso concedido ao Cisco ISE
Contas do usuário:
- Administrador do Ative Diretory: usado como a conta de diretório para permitir que o Proxy de Autenticação Duo se vincule ao servidor do Ative Diretory para autenticação primária.
- Usuário de teste do Ative Diretory
- Usuário de teste Duo para autenticação secundária
Configurações do Active Directory
O servidor Windows está pré-configurado com os serviços de domínio do Ative Diretory.
Nota:Se o RADIUS Duo Auth Proxy Manager for executado na mesma máquina host do Ative Diretory, as funções NPS (Servidor de Políticas de Rede) deverão ser desinstaladas/excluídas; se ambos os serviços RADIUS forem executados, eles poderão entrar em conflito e afetar o desempenho.
Para obter a configuração do AD para autenticação e identidade de usuário em usuários de VPN de acesso remoto, alguns valores são necessários.
Todos esses detalhes devem ser criados ou coletados no Microsoft Server para que a configuração possa ser feita no servidor proxy ASA e Duo Auth.
Os principais valores são:
- Nome de domínio. Este é o nome de domínio do servidor. Neste guia de configuração, agaricam.cisco é o nome de domínio.
- Endereço IP/FQDN do servidor. O endereço IP ou FQDN usado para acessar o Microsoft Server. Se um FQDN for usado, um servidor DNS deverá ser configurado no ASA e no proxy Duo Auth para resolver o FQDN.
Neste guia de configuração, esse valor é agaricam.cisco (que é resolvido como 10.28.17.107).
- Porta do servidor. A porta usada pelo serviço LDAP. Por padrão, LDAP e STARTTLS usam a porta TCP 389 para LDAP, e LDAP sobre SSL (LDAPS) usa a porta TCP 636.
- CA raiz. Se LDAPS ou STARTTLS for usado, a CA raiz usada para assinar o certificado SSL usado por LDAPS será necessária.
- Nome de usuário e senha do diretório. Essa é a conta usada pelo servidor proxy Duo Auth para vincular-se ao servidor LDAP e autenticar usuários e pesquisar usuários e grupos.
- Nome distinto (DN) de base e de grupo. O DN de base é o ponto de partida para o proxy de autenticação dupla e informa ao Ative Diretory para iniciar a pesquisa e autenticar usuários.
Neste guia de configuração, o domínio raiz agaricam.cisco é usado como DN base e DN de grupo é Duo-USERS.
1. Para adicionar um novo usuário do Duo, no Windows Server, navegue para o ícone do Windows na parte inferior esquerda e clique em Ferramentas Administrativas do Windows, conforme mostrado na imagem.
![Windows Aministrative](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-01.png)
2. Na janela Ferramentas Administrativas do Windows, navegue até Usuários e Computadores do Ative Diretory.
No painel Usuários e computadores do Ative Diretory, expanda a opção de domínio e navegue até a pasta Usuários.
Neste exemplo de configuração, Duo-USERS é usado como o grupo de destino para a autenticação secundária.
![Active Directory](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-02.png)
3. Clique com o botão direito do mouse na pasta Users e selecione New > User, como mostrado na imagem.
![User creation](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-03.png)
4. Na janela Novo Usuário de Objeto, especifique os atributos de identidade para este novo usuário e clique em Próximo, conforme mostrado na imagem.
![User setup](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-04.png)
5. Confirme a senha e clique em Avançar, em seguida, em Concluir quando as informações do usuário forem verificadas.
![User setup2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-05.png)
6. Atribua o novo usuário a um grupo específico, clique com o botão direito do mouse nele e selecione Adicionar a um grupo, como mostrado na imagem.
![Add to group](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-06.png)
7. No painel Selecionar grupos, digite o nome do grupo desejado e clique em Verificar nomes.
Em seguida, selecione o nome que corresponde aos seus critérios e clique em Ok.
![Check names](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-07.png)
8. Este é o usuário usado neste documento como exemplo.
Configurações Duo
1. Faça login no portal do Administrador do Dudo.
![Duo login page](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-08.png)
2.No painel do lado esquerdo, navegue até Users, clique em Add User e digite o nome do usuário que corresponde ao seu nome de usuário do Ative Domain e clique em Add User.
![Duo Users](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-09.png)
3. No painel do novo usuário, preencha a lacuna com todas as informações necessárias.
![Duo Users2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-10.png)
4. Em dispositivos do usuário, especifique o método de autenticação secundário.
Nota:Neste documento, é usado o método Duo push for mobile devices, de modo que é necessário adicionar um dispositivo telefônico.
Clique em Adicionar telefone.
![Add phone](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-11.png)
5. Digite o número de telefone do usuário e clique em Adicionar Telefone.
![Add phone2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-12.png)
6. No painel Admin do Duo à esquerda, navegue até Usuários e clique no novo usuário.
![duouser](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-13.png)
Nota:Caso não tenha acesso ao seu telefone no momento, você pode selecionar a opção de e-mail.
7.Navegue até a seção Telefones e clique em Ativate Duo Mobile.
![phones](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-14.png)
8. Clique em Gerar Código de Ativação Móvel Duo.
![Activate Duo](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-15.png)
9. Selecione Email para receber as instruções por e-mail, digite seu endereço de e-mail e clique em Enviar Instruções por e-mail.
![Email instructions](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-16.png)
10. Você receberá um e-mail com as instruções, conforme mostrado na imagem.
![Email Duo](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-17.png)
11. Abra o Duo Mobile App a partir do seu dispositivo móvel e clique em Adicionar, selecione Usar código QR e digitalize o código a partir do e-mail de instruções.
12. O novo usuário é adicionado ao seu aplicativo móvel Duo.
Configuração do proxy de autenticação Duo
1.Baixe e instale o Duo Auth Proxy Manager em https://duo.com/docs/authproxy-reference.
Nota:Neste documento, o Duo Auth Proxy Manager está instalado no mesmo Windows Server que hospeda os serviços do Ative Diretory.
2.No Painel de administração do Duo, navegue para Aplicativos e clique em Proteger um aplicativo.
![Proxy config](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-18.png)
3. Na barra de pesquisa, procure por Cisco ISE Radius.
![Protect application](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-19.png)
4. Copie a Chave de integração, a Chave de segurança e o Nome de host da API. Essas informações são necessárias para a configuração do Proxy de autenticação Duo.
![Cisco ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-20.png)
5. Execute o aplicativo Duo Authentication Proxy Manager e conclua a configuração do cliente do Ative Diretory e do ISE Radius Server e clique em Validate.
Observação: se a validação não for bem-sucedida, consulte a guia debug para obter detalhes e corrija-a de acordo.
![Validation](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-21.png)
Configurações do Cisco ISE
1. Faça login no portal do administrador do ISE.
2.Expanda a guia Cisco ISE e navegue até Administration, clique em Network Resources e clique em External RADIUS Servers.
![Cisco ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-22.png)
3. Na guia External Radius Servers, clique em Add.
![Radius servers](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-23.png)
4. Preencha a lacuna com a configuração RADIUS usada no Duo Authentication Proxy Manager e clique em Submit.
![Validation](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-24.png)
5. Navegue até a guia RADIUS Server Sequences e clique em Add.
![Radius servers sequence](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-25.png)
6. Especifique o nome da sequência e atribua o novo servidor Externo RADIUS, clique em Enviar.
![Radius servers sequence2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-26.png)
7. Navegue do menu Painel para Política e clique em Conjuntos de Políticas.
![Policy Sets](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-27.png)
8. Atribua a Sequência RADIUS à política default.
Nota:Neste documento, a sequência Duo para todas as conexões é aplicada, de modo que a política Padrão é usada. A atribuição de políticas pode variar de acordo com os requisitos.
![Default Policy Sets](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-28.png)
Configuração do Cisco ASA RADIUS/ISE
1. Configure o ISE RADIUS Server em grupos de servidores AAA, navegue para Configuration, clique em Device Management e expanda a seção Users/AAA, selecione AAA Server Groups.
![Configuration](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-29.png)
2. No painel AAA Server Groups, clique em Add.
![AAA Server Groups](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-30.png)
3. Selecione o nome do grupo de servidores e especifique RADIUS como o protocolo a ser usado e clique em Ok.
![AAA Server Groups config](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-31.png)
5. Selecione o novo grupo de servidores e clique em Adicionar no painel Servidores no Grupo Selecionado, conforme mostrado na imagem.
![AAA Server Groups ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-32.png)
6. Na janela Edit AAA Server, selecione o nome da interface, especifique o endereço IP do ISE Server e digite a chave secreta RADIUS e clique em Ok.
Observação: todas essas informações devem corresponder àquelas especificadas no Duo Authentication Proxy Manager.
![Edit AAA Server](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-33.png)
Configuração de CLI.
aaa-server ISE protocol radius
dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
key *****
Configuração de VPN de acesso remoto do Cisco ASA
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0
group-policy DUO internal
group-policy DUO attributes
banner value This connection is for DUO authorized users only!
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-agarciam
address-pools value agarciam-pool
tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
address-pool agarciam-pool
authentication-server-group ISE
default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
group-alias ISE enable
dns-group DNS-CISCO
Teste
1. Abra o aplicativo Anyconnect em seu dispositivo de PC. Especifique o nome de host do VPN ASA Headend e faça login com o usuário criado para a autenticação secundária Duo e clique em OK.
![VPN](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-34.png)
2. Você recebeu uma notificação por push Duo no dispositivo móvel Duo do usuário especificado.
3. Abra a notificação do aplicativo móvel Duo e clique em Aprovar.
![Verify Identity](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-35.jpeg)
![Verify Identity Approve](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-36.jpeg)
4. Aceite o banner e a conexão será estabelecida.
![VPN connection](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-37.png)
![VPN connection Accept](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-38.png)
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
O Duo Authentication Proxy é fornecido com uma ferramenta de depuração que exibe os motivos de erros e falhas.
Depurações de trabalho
Nota:As próximas informações são armazenadas em C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.log.
![Output](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-39.png)
![Output2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-40.png)
![Output3](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-41.png)
![Output4](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-42.png)
1. Problemas de conectividade, IP incorreto, FQDN/Nome de Host não resolvível na configuração do Ative Diretory.
![Output5](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-43.png)
![Output6](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-44.png)
2. Senha incorreta para usuário Administrador no Ative Diretory.
![Output7](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-45.png)
Debugs.
![Output8](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-46.png)
3. Domínio Base Incorreto.
![Output9](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-47.png)
Debugs.
![Output10](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-48.png)
4. Valor de RADIUS ikey errado.
![Output11](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-49.png)
Debugs
![Output12](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-50.png)
5. Verifique se o Servidor ISE envia pacotes de Solicitação de Acesso.
![pcap](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-51.png)
6. Para confirmar o funcionamento do servidor de Proxy de Autenticação Duo, Duo fornece a ferramenta NTRadPing para simular pacotes de solicitação de acesso e resposta com Duo.
6.1 Instale o NTRadPing em um PC diferente e gere tráfego.
Nota:Neste exemplo, a máquina com Windows 10.28.17.3 é usada.
6.2 Configure com os atributos usados na configuração do ISE Radius.
![Atributes ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-52.png)
6.3 Configure o Duo Authentication Proxy Manager da seguinte maneira:
![Duo Auth](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-53.png)
6.4. Navegue até a ferramenta NTRadPing e clique em Send. Você recebe uma notificação por push Duo no dispositivo móvel atribuído.
![NTRadPing](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-54.png)
![pcap2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-55.png)