Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar A Autenticação Duo De Dois Fatores Para O Acesso De Gerenciamento Do Firepower Management Center

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de Julho de 2020
ID do documento:214756

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve as etapas necessárias para configurar a autenticação externa de dois fatores para acesso de gerenciamento no Firepower Management Center (FMC). Neste exemplo, o administrador do FMC autentica no servidor ISE e uma autenticação adicional na forma de notificação push é enviada pelo servidor Proxy de Autenticação Duo para o dispositivo móvel do administrador.

    Prerequisites 

    Requirements 

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Configuração de objeto do Firepower Management Center (FMC)
    • Administração do Identity Services Engine (ISE)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco Firepower Management Center (FMC) executando a versão 6.3.0
    • Cisco Identity Services Engine (ISE) executando a versão 2.6.0.156
    • Windows Machine (executando Windows 7) com conectividade com FMC, ISE e a Internet para atuar como servidor proxy de Autenticação Duo
    • Windows Machine para acessar o FMC, o ISE e o Portal de Administração Duo
    • conta Web Duo

    Note: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Fluxo de autenticação

    Fluxo de autenticação explicado

    1. Autenticação principal iniciada no Cisco FMC
    2. O Cisco FMC envia uma solicitação de autenticação ao Proxy de Autenticação Duo
    3. A autenticação primária deve usar o Ative Diretory ou RADIUS
    4. Conexão do proxy de autenticação dupla estabelecida com a segurança Duo sobre a porta TCP 443
    5. Autenticação secundária através do serviço do Duo Security
    6. O proxy de autenticação Duo recebe a resposta de autenticação
    7. O acesso à GUI do Cisco FMC é concedido

    Configurar

    Para concluir a configuração, leve em consideração estas seções:

    Etapas de configuração no FMC

    Etapa 1. Navegue até System > Users > External Authentication, Create an External Authentication Object (Sistema > Usuários > Autenticação externa) e defina o Método de autenticação como RADIUS. Certifique-se de que o Administrador esteja selecionado em Função de usuário padrão, conforme mostrado na imagem:

    Note: 10.106.44.177 é o endereço IP de exemplo do servidor Proxy de Autenticação Duo.

    Clique em Salvar e Aplicar, ignore o aviso como mostrado na imagem:

    Etapa 2. Navegue até Sistema > Usuários > Usuários, Criar um Usuário e marque Método de Autenticação como Externo, conforme mostrado na imagem:

         

    Etapa 1. Baixe e instale o servidor proxy de autenticação Duo.

    Efetue login na máquina Windows e instale o servidor Proxy de Autenticação Duo: https://dl.duosecurity.com/duoauthproxy-latest.exe

    É recomendável usar um sistema com pelo menos 1 CPU, 200 MB de espaço em disco e 4 GB de RAM

    Note: Esta máquina deve ter acesso ao FMC, ao servidor RADIUS (ISE, no nosso caso) e à Duo Cloud (Internet)

    Etapa 2. Configure o arquivo authproxy.cfg.

    Abra este arquivo em um editor de texto, como o Notepad++ ou WordPad.

    Observação: o local padrão é C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg

    Edite o arquivo authproxy.cfg e adicione esta configuração:

    [radius_client]
    host=10.197.223.23                 Sample IP Address of the ISE server
    secret=cisco                       Password configured on the ISE server in order to register the network device

    O endereço IP do FMC deve ser configurado junto com a chave secreta RADIUS.

    [radius_server_auto]
    ikey=xxxxxxxxxxxxxxx
    skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
    api_host=api-xxxxxxxx.duosecurity.com
    radius_ip_1=10.197.223.76           IP of FMC
    radius_secret_1=cisco               Radius secret key used on the FMC
    failmode=safe
    client=radius_client
    port=1812
    api_timeout=

    Certifique-se de configurar os parâmetros ikey, skey e api_host. Para obter esses valores, faça login na sua conta Duo (https://admin.duosecurity.com) e navegue até Applications > Protect an Application. Em seguida, selecione o aplicativo de autenticação RADIUS como mostrado na imagem:

    Chave de integração = ikey

    chave secreta = skey

    Nome de host da API = api_host

    Etapa 3. Reinicie o Serviço Proxy de Autenticação de Segurança Duo. Salve o arquivo e reinicie o serviço Duo na máquina Windows.

    Abra o console do Windows Services (services.msc), localize Duo Security Authentication Proxy Service na lista de serviços e clique em Reiniciar conforme mostrado na imagem:

    Etapas de configuração no ISE

    Etapa 1. Navegue até Administração > Dispositivos de rede, clique em Adicionar para configurar o dispositivo de rede como mostrado na imagem:

    Note: 10.106.44.177 é o endereço IP de exemplo do servidor Proxy de Autenticação Duo.

    Configure o segredo compartilhado conforme mencionado no authproxy.cfg em segredo como mostrado na imagem:

    Etapa 2. Navegue até Administração > Identidades, clique em Adicionar para configurar o usuário Identidade como mostrado na imagem:

    Etapas de configuração no portal de administração do Duo

    Etapa 1. Crie um nome de usuário e ative o Duo Mobile no dispositivo final

    Adicione o usuário à página de administração da nuvem Duo. Navegue até Usuários > Adicionar usuários conforme mostrado na imagem:

       

    Observação: certifique-se de que o usuário final tenha o aplicativo Duo instalado.

    Instalação manual do aplicativo Duo para dispositivos IOS

    Instalação manual do aplicativo Duo para dispositivos android

    Etapa 2. Geração automática de código:

    Adicione o número de telefone do usuário como mostrado na imagem:

    Selecione Ativate Duo Mobile como mostrado na imagem: 

    Selecione Gerar Código de Ativação Móvel Duo conforme mostrado na imagem: 

    Selecione Enviar instruções por SMS conforme mostrado na imagem: 

    Clique no link no SMS e o aplicativo Duo será vinculado à conta de usuário na seção Informações do dispositivo, como mostrado na imagem:

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Faça login no FMC usando suas credenciais de usuário adicionadas na página de identidade de usuário do ISE. Você deve receber uma notificação de Duo PUSH em seu endpoint para a Autenticação de Dois Fatores (2FA), aprová-la e o FMC deverá fazer login conforme mostrado na imagem: 

    No servidor ISE, navegue para Operations > RADIUS > Live Logs, localize o nome de usuário usado para autenticação no FMC e selecione o relatório de autenticação detalhado na coluna detail. Aqui você deve verificar se a autenticação foi bem-sucedida, como mostrado na imagem: 

    Troubleshoot

    Esta seção fornece as informações que você pode usar para solucionar problemas de sua configuração.

    • Verifique as depurações no Servidor Proxy de Autenticação Duo. Os registros estão localizados no seguinte local:

         C:\Program Files (x86)\Duo Security Authentication Proxy\log

         Abra o arquivo authproxy.log em um editor de texto, como o Bloco de Notas+ ou WordPad.

    Trechos de log quando credenciais incorretas são inseridas e a autenticação é rejeitada pelo servidor ISE.

    2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
    • No ISE, navegue para Operations > RADIUS > Live Logs para verificar os detalhes da autenticação.

    Trechos de log de autenticação bem-sucedida com ISE e Duo:

    2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Created by Chakshu Piplani
      Technical Consulting Engineer
    • Created by Rohan Biswas
      Technical Consulting Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos