配置Firepower管理中心管理访问的二重奏二要素验证
简介
本文描述要求的步骤配置管理访问的外部二要素验证在Firepower管理中心(FMC)。在本例中, FMC管理员验证ISE服务器,并且以推送通知的形式一另外的验证由二重奏验证代理服务器发送到管理员的移动设备。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower管理中心(FMC)对象配置
- 身份服务引擎(ISE)管理
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Firepower管理中心(FMC)运行版本6.3.0
- 思科身份服务引擎(ISE)运行版本2.6.0.156
- Windows机器(与连接的运行Windows 7)对FMC、ISE和作为的互联网二重奏验证代理服务器
- Windows机器为了访问FMC、ISE和二重奏管理门户
- 二重奏Web帐户
身份验证流程
解释的验证流
- 主要的验证启动对Cisco FMC
- Cisco FMC发送认证请求对二重奏认证代理
- 主要的验证必须使用活动目录或RADIUS
- 二重奏对二重奏安全的认证代理已建立连接在TCP端口443
- 附属验证通过二重奏安全性服务
- 二重奏认证代理收到验证答复
- Cisco FMC GUI访问授权
配置
为了完成配置请考虑到这些部分:
在FMC的配置步骤
步骤1.导航对系统> Users >外部验证,创建外部验证对象并且设置认证方法作为RADIUS。 如镜像所显示,保证管理员选择在默认用户角色下:
如镜像所显示,点击“Save”并且应用,忽略警告:
步骤2.如镜像所显示,导航对系统> Users > Users,创建用户,并且检查认证方法作为外部:
步骤1.下载和安装二重奏验证代理服务器。
登陆对Windows机器并且安装二重奏验证代理服务器: https://dl.duosecurity.com/duoauthproxy-latest.exe
推荐以1个至少CPU, 200 MB磁盘空间和4 GB RAM使用系统
步骤2.配置authproxy.cfg文件。
打开在文本编辑的此文件例如Notepad++或Wordpad。
编辑authproxy.cfg文件并且添加此配置:
[radius_client]
host=10.197.223.23 Sample IP Address of the ISE server
secret=cisco Password configured on the ISE server in order to register the network device
必须与RADIUS密钥一起配置FMC的IP地址。
[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76 IP of FMC
radius_secret_1=cisco Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=
保证配置ikey、skey和api_host参数。为了得到这些值,请登陆对您的二重奏帐户(https://admin.duosecurity.com)和导航对应用程序>保护应用程序。如镜像所显示,下,请选择RADIUS验证应用程序:
集成密钥= ikey
密钥= skey
API主机名= api_host
步骤3.重新启动二重奏安全认证代理服务。保存文件并且重新启动在Windows机器的二重奏服务。
打开Windows服务控制台(services.msc),找出DuoSecurity在服务列表的认证代理服务,并且点击在镜像显示的Restartas :
在ISE的配置步骤
步骤1.如镜像所显示,导航到Administration >网络设备,单击添加为了配置网络设备:
配置共享机密按照在镜像显示的secretas的authproxy.cfg所述:
步骤2.如镜像所显示,导航对Administration >标识,单击添加为了配置标识用户:
在二重奏管理门户的配置步骤
步骤1.创建用户名并且激活在终端设备的二重奏莫比尔
添加二重奏网云管理网页的用户。 如镜像所显示,导航对用户> Add Users :
步骤2.代码的自动生成:
如镜像所显示,添加用户的电话号码:
如镜像所显示,选择激活二重奏莫比尔:
如镜像所显示,选择生成二重奏移动激活代码:
如镜像所显示,由SMS选择发送说明:
点击在SMS的链路和与在设备信息部分的用户帐户连接的二重奏app获得,如镜像所显示:
验证
使用本部分可确认配置能否正常运行。
登陆对在ISE用户身份页被添加的FMC使用您的用户凭证。您必须获得在您的终端的二重奏推送通知两个因素的验证的(2FA),审批它如镜像所显示,并且FMC将登陆:
在ISE服务器上请导航对操作> RADIUS> Live日志,查找用户名使用在FMC的验证并且选择详细信息验证报告在详细信息列下。在此处您如镜像所显示,如果验证成功必须验证:
故障排除
此部分提供您能使用为了排除故障您的配置的信息。
- 检查在二重奏验证代理服务器的调试。日志查找在以下位置下:
C:\Program文件(x86)\Duo安全认证代理\日志
打开在文本编辑的文件authproxy.log例如Notepad++或Wordpad。
请记录片断,当不正确凭证被输入时,并且验证由ISE服务器拒绝。
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3 10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
- 在ISE,请导航对验证验证详细信息的操作> RADIUS> Live日志。
记录成功认证片断与ISE和二重奏的:
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2 <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
反馈