Introduction
Este documento descreve as etapas necessárias para configurar a autenticação externa de dois fatores para acesso de gerenciamento no Firepower Management Center (FMC). Neste exemplo, o administrador do FMC autentica no servidor ISE e uma autenticação adicional na forma de notificação push é enviada pelo servidor Proxy de Autenticação Duo para o dispositivo móvel do administrador.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Configuração de objeto do Firepower Management Center (FMC)
- Administração do Identity Services Engine (ISE)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco Firepower Management Center (FMC) executando a versão 6.3.0
- Cisco Identity Services Engine (ISE) executando a versão 2.6.0.156
- Windows Machine (executando Windows 7) com conectividade com FMC, ISE e a Internet para atuar como servidor proxy de Autenticação Duo
- Windows Machine para acessar o FMC, o ISE e o Portal de Administração Duo
- conta Web Duo
Note: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Fluxo de autenticação

Fluxo de autenticação explicado
- Autenticação principal iniciada no Cisco FMC
- O Cisco FMC envia uma solicitação de autenticação ao Proxy de Autenticação Duo
- A autenticação primária deve usar o Ative Diretory ou RADIUS
- Conexão do proxy de autenticação dupla estabelecida com a segurança Duo sobre a porta TCP 443
- Autenticação secundária através do serviço do Duo Security
- O proxy de autenticação Duo recebe a resposta de autenticação
- O acesso à GUI do Cisco FMC é concedido
Configurar
Para concluir a configuração, leve em consideração estas seções:
Etapas de configuração no FMC
Etapa 1. Navegue até System > Users > External Authentication, Create an External Authentication Object (Sistema > Usuários > Autenticação externa) e defina o Método de autenticação como RADIUS. Certifique-se de que o Administrador esteja selecionado em Função de usuário padrão, conforme mostrado na imagem:
Note: 10.106.44.177 é o endereço IP de exemplo do servidor Proxy de Autenticação Duo.


Clique em Salvar e Aplicar, ignore o aviso como mostrado na imagem:

Etapa 2. Navegue até Sistema > Usuários > Usuários, Criar um Usuário e marque Método de Autenticação como Externo, conforme mostrado na imagem:

Etapa 1. Baixe e instale o servidor proxy de autenticação Duo.
Efetue login na máquina Windows e instale o servidor Proxy de Autenticação Duo: https://dl.duosecurity.com/duoauthproxy-latest.exe
É recomendável usar um sistema com pelo menos 1 CPU, 200 MB de espaço em disco e 4 GB de RAM
Note: Esta máquina deve ter acesso ao FMC, ao servidor RADIUS (ISE, no nosso caso) e à Duo Cloud (Internet)
Etapa 2. Configure o arquivo authproxy.cfg.
Abra este arquivo em um editor de texto, como o Notepad++ ou WordPad.
Observação: o local padrão é C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg
Edite o arquivo authproxy.cfg e adicione esta configuração:
[radius_client]
host=10.197.223.23 Sample IP Address of the ISE server
secret=cisco Password configured on the ISE server in order to register the network device
O endereço IP do FMC deve ser configurado junto com a chave secreta RADIUS.
[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76 IP of FMC
radius_secret_1=cisco Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=
Certifique-se de configurar os parâmetros ikey, skey e api_host. Para obter esses valores, faça login na sua conta Duo (https://admin.duosecurity.com) e navegue até Applications > Protect an Application. Em seguida, selecione o aplicativo de autenticação RADIUS como mostrado na imagem:

Chave de integração = ikey
chave secreta = skey
Nome de host da API = api_host
Etapa 3. Reinicie o Serviço Proxy de Autenticação de Segurança Duo. Salve o arquivo e reinicie o serviço Duo na máquina Windows.
Abra o console do Windows Services (services.msc), localize Duo Security Authentication Proxy Service na lista de serviços e clique em Reiniciar conforme mostrado na imagem:

Etapas de configuração no ISE
Etapa 1. Navegue até Administração > Dispositivos de rede, clique em Adicionar para configurar o dispositivo de rede como mostrado na imagem:
Note: 10.106.44.177 é o endereço IP de exemplo do servidor Proxy de Autenticação Duo.

Configure o segredo compartilhado conforme mencionado no authproxy.cfg em segredo como mostrado na imagem:

Etapa 2. Navegue até Administração > Identidades, clique em Adicionar para configurar o usuário Identidade como mostrado na imagem:

Etapas de configuração no portal de administração do Duo
Etapa 1. Crie um nome de usuário e ative o Duo Mobile no dispositivo final
Adicione o usuário à página de administração da nuvem Duo. Navegue até Usuários > Adicionar usuários conforme mostrado na imagem:

Observação: certifique-se de que o usuário final tenha o aplicativo Duo instalado.
Instalação manual do aplicativo Duo para dispositivos IOS
Instalação manual do aplicativo Duo para dispositivos android
Etapa 2. Geração automática de código:
Adicione o número de telefone do usuário como mostrado na imagem:


Selecione Ativate Duo Mobile como mostrado na imagem:

Selecione Gerar Código de Ativação Móvel Duo conforme mostrado na imagem:

Selecione Enviar instruções por SMS conforme mostrado na imagem:

Clique no link no SMS e o aplicativo Duo será vinculado à conta de usuário na seção Informações do dispositivo, como mostrado na imagem:

Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Faça login no FMC usando suas credenciais de usuário adicionadas na página de identidade de usuário do ISE. Você deve receber uma notificação de Duo PUSH em seu endpoint para a Autenticação de Dois Fatores (2FA), aprová-la e o FMC deverá fazer login conforme mostrado na imagem:

No servidor ISE, navegue para Operations > RADIUS > Live Logs, localize o nome de usuário usado para autenticação no FMC e selecione o relatório de autenticação detalhado na coluna detail. Aqui você deve verificar se a autenticação foi bem-sucedida, como mostrado na imagem:

Troubleshoot
Esta seção fornece as informações que você pode usar para solucionar problemas de sua configuração.
- Verifique as depurações no Servidor Proxy de Autenticação Duo. Os registros estão localizados no seguinte local:
C:\Program Files (x86)\Duo Security Authentication Proxy\log
Abra o arquivo authproxy.log em um editor de texto, como o Bloco de Notas+ ou WordPad.
Trechos de log quando credenciais incorretas são inseridas e a autenticação é rejeitada pelo servidor ISE.
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3 10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
- No ISE, navegue para Operations > RADIUS > Live Logs para verificar os detalhes da autenticação.
Trechos de log de autenticação bem-sucedida com ISE e Duo:
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2 <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
Informações Relacionadas