Configurar a autenticação de dois fatores do duo para o acesso de gerenciamento do centro de gerenciamento de FirePOWER
Índice
Introdução
Este original descreve as etapas exigidas configurar a autenticação de dois fatores externo para o acesso de gerenciamento no centro de gerenciamento de FirePOWER (FMC). Neste exemplo, o administrador FMC autentica contra o server ISE e uma autenticação adicional sob a forma da notificação do impulso é enviada pelo servidor proxy da autenticação do duo ao dispositivo móvel do administrador.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Configuração do objeto do centro de gerenciamento de FirePOWER (FMC)
- A administração do Identity Services Engine (ISE)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão 6.3.0 running do centro de gerenciamento de Cisco FirePOWER (FMC)
- Versão 2.6.0.156 running do Cisco Identity Services Engine (ISE)
- Máquina de Windows (Windows 7 sendo executado) com Conectividade a FMC, a ISE, e ao Internet a atuar como o servidor proxy da autenticação do duo
- Máquina de Windows a fim alcançar FMC, ISE e portal da administração do duo
- Conta da Web do duo
Fluxo da autenticação
Fluxo da autenticação explicado
- Autenticação preliminar iniciada a Cisco FMC
- Cisco FMC envia um pedido de autenticação ao Proxy de autenticação do duo
- A autenticação preliminar deve usar o diretório ativo ou o RAIO
- A conexão do Proxy de autenticação do duo estabeleceu à Segurança do duo sobre a porta TCP 443
- Autenticação secundária através do serviço de Segurança do duo
- O Proxy de autenticação do duo recebe a resposta da autenticação
- O acesso de GUI de Cisco FMC é concedido
Configurar
A fim terminar a configuração tome na consideração estas seções:
Etapas de configuração em FMC
Etapa 1. Navegue ao sistema > aos usuários > à autenticação externa, crie um objeto da autenticação externa e ajuste o método de autenticação como o RAIO. Assegure-se de que o administrador esteja selecionado sob o papel de usuário padrão segundo as indicações da imagem:
Clique a salvaguarda e aplique, ignore o aviso segundo as indicações da imagem:
Etapa 2. Navegue ao sistema > aos usuários > aos usuários, crie um usuário e verifique o método de autenticação como externo segundo as indicações da imagem:
Etapa 1. Transfira e instale o servidor proxy da autenticação do duo.
Entre à máquina de Windows e instale o servidor proxy da autenticação do duo: https://dl.duosecurity.com/duoauthproxy-latest.exe
Recomenda-se usar um sistema com espaço de disco pelo menos o 1 CPU, de 200 MB, e 4 GB RAM
Etapa 2. Configurar o arquivo authproxy.cfg.
Abra este arquivo em um editor de texto tal como Notepad++ ou WordPad.
Edite o arquivo authproxy.cfg e adicionar esta configuração:
[radius_client]
host=10.197.223.23 Sample IP Address of the ISE server
secret=cisco Password configured on the ISE server in order to register the network device
O IP address do FMC deve ser configurado junto com a chave secreta do RAIO.
[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76 IP of FMC
radius_secret_1=cisco Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=
Assegure para configurar os parâmetros do ikey, do skey e do api_host. A fim obter estes valores, entre a sua conta do duo (https://admin.duosecurity.com) e navega aos aplicativos > protege um aplicativo. Em seguida, aplicativo seleto da autenticação RADIUS segundo as indicações da imagem:
Chave de integração = ikey
chave secreta = skey
Hostname = api_host API
Etapa 3. Reinicie o serviço do Proxy de autenticação da Segurança do duo. Salvar o arquivo e reinicie o serviço do duo na máquina dos indicadores.
Abra o console de serviços de Windows (services.msc), encontre o serviço do Proxy de autenticação de DuoSecurity na lista de serviços, e clique Restartas mostrado na imagem:
Etapas de configuração no ISE
Etapa 1. Navegue à administração > aos dispositivos de rede, clique adicionam a fim configurar o dispositivo de rede segundo as indicações da imagem:
Configurar o segredo compartilhado como mencionado no authproxy.cfg nos secretas mostrados na imagem:
Etapa 2. Navegue à administração > às identidades, clique adicionam a fim configurar o usuário da identidade segundo as indicações da imagem:
Etapas de configuração no portal da administração do duo
Etapa 1. Crie um username e ative o móbil do duo no dispositivo final
Adicionar o usuário no Web page da administração da nuvem do duo. Navegue aos usuários do > Add dos usuários segundo as indicações da imagem:
Instalação manual do pedido do duo para dispositivos de IOS
Instalação manual do pedido do duo para dispositivos do androide
Etapa 2. Geração automática de código:
Adicionar o número de telefone do usuário segundo as indicações da imagem:
Seleto ative o móbil do duo segundo as indicações da imagem:
Seleto gerencia o código de ativação móvel do duo segundo as indicações da imagem:
Seleto envie instruções por SMS segundo as indicações da imagem:
Clique a relação em SMS, e o app do duo obtém ligado à conta de usuário na seção de informação do dispositivo, segundo as indicações da imagem:
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Entre ao FMC usando suas credenciais do usuário que foram adicionadas na página de identidade do usuário ISE. Você deve obter uma notificação do IMPULSO do duo em seu valor-limite para a autenticação de dois fatoras (2FA), aprova-a e FMC entraria segundo as indicações da imagem:
No server ISE navegue às operações > ao RAIO > logs vivos, encontre o username usado para a autenticação em FMC e selecione o relatório da autenticação do detalhe sob a coluna do detalhe. Aqui em você deve verificar se a autenticação é sucedida segundo as indicações da imagem:
Troubleshooting
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
- Verifique debuga no servidor proxy da autenticação do duo. Os logs são ficados situados sob o seguinte lugar:
C:\Program arquiva (Proxy de autenticação \ log da Segurança x86)\Duo
Abra o arquivo authproxy.log em um editor de texto tal como Notepad++ ou WordPad.
Registre pequenas notícias quando as credenciais incorretas são incorporadas e a autenticação está rejeitada pelo server ISE.
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3 10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
- No ISE, navegue às operações > ao RAIO > os logs vivos para verificar os detalhes da autenticação.
Registre pequenas notícias da autenticação bem sucedida com ISE e duo:
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2 <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)