Configurar a autenticação de dois fatores do duo para o acesso de gerenciamento do centro de gerenciamento de FirePOWER

Introdução

Este documento descreve as etapas exigidas configurar a autenticação de dois fatores externo para o acesso de gerenciamento no centro de gerenciamento de FirePOWER (FMC). Neste exemplo, o administrador FMC autentica contra o server ISE e uma autenticação adicional sob a forma da notificação do impulso é enviada pelo servidor proxy da autenticação do duo ao dispositivo móvel do administrador.

Pré-requisitos 

Requisitos 

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Configuração do objeto do centro de gerenciamento de FirePOWER (FMC)
• A administração do Identity Services Engine (ISE)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Versão 6.3.0 running do centro de gerenciamento de Cisco FirePOWER (FMC)
• Versão 2.6.0.156 running do Cisco Identity Services Engine (ISE)
• Máquina de Windows (Windows 7 sendo executado) com Conectividade a FMC, a ISE, e ao Internet a atuar como o servidor proxy da autenticação do duo
• Máquina de Windows a fim alcançar FMC, ISE e portal da administração do duo
• Conta da Web do duo

Nota: As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Fluxo da autenticação

Fluxo da autenticação explicado

1. Autenticação principal iniciada a Cisco FMC
2. Cisco FMC envia um pedido de autenticação ao Proxy de autenticação do duo
3. A autenticação principal deve usar o diretório ativo ou o RAIO
4. A conexão do Proxy de autenticação do duo estabeleceu à Segurança do duo sobre a porta TCP 443
5. Autenticação secundária através do serviço de Segurança do duo
6. O Proxy de autenticação do duo recebe a resposta de autenticação
7. O acesso de GUI de Cisco FMC é concedido

Configurar

A fim terminar a configuração tome na consideração estas seções:

Etapas de configuração em FMC

Etapa 1. Navegue ao sistema > aos usuários > à autenticação externa, crie um objeto da autenticação externa e ajuste o método de autenticação como o RAIO. Assegure-se de que o administrador esteja selecionado sob o papel de usuário padrão segundo as indicações da imagem:

Nota: 10.106.44.177 é o endereço IP de Um ou Mais Servidores Cisco ICM NT da amostra do servidor proxy da autenticação do duo.

Clique a salvaguarda e aplique, ignore o aviso segundo as indicações da imagem:

Etapa 2. Navegue ao sistema > aos usuários > aos usuários, crie um usuário, e verifique o método de autenticação como externo segundo as indicações da imagem:

     

Etapa 1. Transfira e instale o servidor proxy da autenticação do duo.

Entre à máquina de Windows e instale o servidor proxy da autenticação do duo: https://dl.duosecurity.com/duoauthproxy-latest.exe

Recomenda-se usar um sistema com espaço de disco pelo menos o 1 CPU, de 200 MB, e 4 GB RAM

Nota: Esta máquina deve ter o acesso a FMC, a servidor Radius (ISE em nosso caso) e a nuvem do duo (o Internet)

Etapa 2. Configurar o arquivo authproxy.cfg.

Abra este arquivo em um editor de texto tal como Notepad++ ou WordPad.

Nota: O local padrão é encontrado em C:\Program arquiva (Proxy de autenticação da Segurança x86)\Duo \ conf \ authproxy.cfg

Edite o arquivo authproxy.cfg e adicionar esta configuração:

[radius_client]
host=10.197.223.23                 Sample IP Address of the ISE server
secret=cisco                       Password configured on the ISE server in order to register the network device 

O endereço IP de Um ou Mais Servidores Cisco ICM NT do FMC deve ser configurado junto com a chave secreta do RAIO.

[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76           IP of FMC
radius_secret_1=cisco               Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=

Assegure para configurar o ikey, o skey, e os parâmetros do api_host. A fim obter estes valores, entre a sua conta do duo (https://admin.duosecurity.com) e navega aos aplicativos > protege um aplicativo. Em seguida, aplicativo seleto da autenticação RADIUS segundo as indicações da imagem:

Chave de integração = ikey

chave secreta = skey

Hostname = api_host API

Etapa 3. Reinicie o serviço do Proxy de autenticação da Segurança do duo. Salvar o arquivo e reinicie o serviço do duo na máquina dos indicadores.

Abra o console de serviços de Windows (services.msc), encontre o serviço do Proxy de autenticação de DuoSecurity na lista de serviços, e clique Restartas mostrado na imagem:

Etapas de configuração no ISE

Etapa 1. Navegue à administração > aos dispositivos de rede, clique adicionam a fim configurar o dispositivo de rede segundo as indicações da imagem:

Nota: 10.106.44.177 é o endereço IP de Um ou Mais Servidores Cisco ICM NT da amostra do servidor proxy da autenticação do duo.

Configurar o segredo compartilhado como mencionado no authproxy.cfg nos secretas mostrados na imagem:

Etapa 2. Navegue à administração > às identidades, clique adicionam a fim configurar o usuário da identidade segundo as indicações da imagem:

Etapas de configuração no portal da administração do duo

Etapa 1. Crie um username e ative o móbil do duo no dispositivo final

Adicionar o usuário no Web page da administração da nuvem do duo. Navegue aos usuários do > Add dos usuários segundo as indicações da imagem:

   

Nota: Assegure-se de que o utilizador final tenha o app do duo instalado sobre.

Instalação manual do pedido do duo para dispositivos de IOS

Instalação manual do pedido do duo para dispositivos do androide

Etapa 2. Geração automática de código:

Adicionar o número de telefone do usuário segundo as indicações da imagem:

Seleto ative o móbil do duo segundo as indicações da imagem: 

Seleto gerencia o código de ativação móvel do duo segundo as indicações da imagem: 

Seleto envie instruções por SMS segundo as indicações da imagem: 

Clique o link em SMS, e o app do duo obtém ligado à conta de usuário na seção de informação do dispositivo, segundo as indicações da imagem:

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Entre ao FMC usando suas credenciais do usuário que foram adicionadas na página de identidade do usuário ISE. Você deve obter uma notificação do IMPULSO do duo em seu valor-limite para a autenticação de dois fatoras (2FA), aprova-a e FMC entraria segundo as indicações da imagem: 

No server ISE navegue às operações > ao RAIO > logs vivos, encontre o username usado para a autenticação em FMC e selecione o relatório da autenticação do detalhe sob a coluna do detalhe. Aqui em você deve verificar se a autenticação é sucedida segundo as indicações da imagem: 

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

• Verifique debuga no servidor proxy da autenticação do duo. Os logs são ficados situados sob o seguinte lugar:

     C:\Program arquiva (Proxy de autenticação \ log da Segurança x86)\Duo

     Abra o arquivo authproxy.log em um editor de texto tal como Notepad++ ou WordPad.

Registre snippet quando as credenciais incorretas são incorporadas e a autenticação está rejeitada pelo server ISE.

2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response

• No ISE, navegue às operações > ao RAIO > os logs vivos para verificar os detalhes da autenticação.

Registre snippet da autenticação bem sucedida com ISE e duo:

2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

Informações Relacionadas

• Autenticação RA VPN usando o duo
• Suporte Técnico e Documentação - Cisco Systems