簡介

本文檔介紹使用Cisco ISE和適用於AAA的DUO安全在Firepower威脅防禦中整合SSLVPN。

需求

• ISE 3.0或更高版本。
• FMC 7.0或更高版本。
• FTD 7.0或更高版本。
• DUO驗證代理。
• ISE基礎版許可
• DUO Essentials許可。

採用元件

• ISE 3.2補丁3
• FMC 7.2.5
• FTD 7.2.5
• Proxy DUO 6.3.0
• 任意連線4.10.08029

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

網路圖表

拓撲.

在我們推薦的解決方案中，思科ISE是關鍵的RADIUS伺服器代理。ISE配置為將RADIUS資料包從FTD轉發到DUO身份驗證代理，而不是直接評估身份驗證或授權策略。 

DUO身份驗證代理在此身份驗證流程中作為專用中介運行。它安裝在Windows伺服器上，橋接Cisco ISE和DUO雲之間的間隙。代理主要功能是將封裝在RADIUS資料包內的身份驗證請求傳輸到DUO雲。DUO Cloud最終根據雙因素身份驗證配置允許或拒絕網路訪問。

1.使用者通過輸入其唯一的使用者名稱和密碼來啟動VPN身份驗證過程。

2.防火牆威脅防禦(FTD)將驗證要求傳送到思科身分識別服務引擎(ISE)。

3.策略服務節點(PSN)將身份驗證請求轉發到DUO身份驗證代理伺服器。隨後，DUO Authentication Server通過DUO Cloud服務驗證憑證。

4. DUO Cloud根據同步資料庫驗證使用者名稱和密碼。

  注意：DUO Cloud與組織Active Directory之間的同步需要處於活動狀態，以維護DUO Cloud中的最新使用者資料庫。

5.身份驗證成功後，DUO Cloud會通過安全、加密的推送通知向註冊流動裝置的使用者啟動DUO Push。然後，使用者必須批准DUO Push以確認其身份並繼續。

6.使用者批准DUO Push後，DUO身份驗證代理伺服器會向PSN傳送確認消息，指示使用者已接受身份驗證請求。

7. PSN節點向FTD傳送確認，通知使用者已經過身份驗證。

8. FTD收到驗證確認，並在採取適當的安全措施下建立與終端的VPN連線。

9. FTD記錄成功的VPN連線的詳細資訊，並將記帳資料安全傳送回ISE節點，以進行記錄儲存和稽核。

10. ISE節點在其日誌中記錄會計資訊，確保所有記錄安全儲存並可供將來審計或合規性檢查訪問。

附註：

本指南中的設定使用下一個網路引數：

— 主網路伺服器(PNS)節點IP:10.4.23.21

— 適用於對等VPN的Firepower威脅防禦(FTD)IP:10.4.23.53

- DUO Authentication Proxy IP:10.31.126.207

— 域名：testlab.local

組態

FTD組態。

在Firepower管理中心(FMC)中整合RADIUS伺服器

1.通過啟動Web瀏覽器並輸入FMC IP地址以開啟圖形使用者介面(GUI)來訪問FMC。

2.導航到Objects選單，選擇AAA Server，然後進入RADIUS Server Group選項。

3.按一下Add RADIUS Server Group按鈕，為RADIUS伺服器建立一個新組。

RADIUS伺服器組。

4.輸入新AAA RADIUS伺服器組的描述性名稱，以確保網路基礎設施中的明確標識。

5.通過在組配置中選擇適當的選項，繼續新增新的RADIUS伺服器。RADIUS伺服器。

6.指定RADIUS伺服器IP地址並輸入共用金鑰。

附註：必須確保與ISE伺服器安全共用此金鑰才能建立成功的RADIUS連線。

新建RADIUS伺服器。

7.配置RADIUS伺服器詳細資訊後，按一下Save以保留RADIUS伺服器組的設定。

伺服器組詳細資訊。

8.要最終確定並實施整個網路中的AAA伺服器配置，請導航到Deploy選單，然後選擇Deploy All以應用設定。

部署AAA伺服器。

配置遠端VPN。

1.在FMC GUI中導航到Devices > VPN > Remote Access，以開始VPN配置過程。

2.按一下Add按鈕建立新的VPN連線配置檔案。

VPN連線配置檔案。

3.輸入VPN的唯一描述性名稱，以幫助在網路設定中識別它。

4.選擇SSL選項以確保使用SSL VPN協定的安全連線。

5.從裝置清單中選擇特定的FTD裝置。

VPN設定。

6.配置AAA方法以在身份驗證設定中使用PSN節點。

連線配置檔案。

7.為VPN設定動態IP地址分配。

注意：例如，已選擇DHCP VPN池。

IP地址池。

8.繼續建立新的組策略。

組策略。

9.在組策略設定中，確保已選擇SSL協定。

VPN通訊協定。

10.建立一個新的VPN池或選擇一個現有的VPN池，以定義VPN客戶端可用的IP地址範圍。

池VPN。

11.指定VPN連線的DNS伺服器詳細資訊。

DNS設定。

警告：請注意，Banner、Split Tunneling、AnyConnect和Advanced選項等其他功能被視為此配置的可選功能。

12.在配置必要的詳細資料後，按一下下一步進入安裝過程的下一階段。

組策略。

13.為VPN使用者選擇適當的AnyConnect軟體包。如果所需的包沒有列出，您可以選擇在此階段新增所需的包。

程式包安裝。

14.選擇要啟用VPN Remote功能的FTD裝置上的網路介面。

VPN介面

15.選擇可用方法之一在防火牆上建立和安裝證書，以此建立證書註冊流程，這對於安全VPN連線至關重要。

注意：例如，在本指南中選擇了自簽名證書。

裝置證書。

證書註冊。

16.配置證書註冊後，按一下Next。

訪問和服務摘要

17.審查所有配置的摘要，以確保這些配置準確並反映您預期的設定。

VPN設定的摘要。

18.要應用和啟用VPN遠端訪問配置，請導航至部署>全部部署，然後執行到所選FTD裝置的部署。

部署VPN設定。

ISE配置。

整合DUO作為外部Radius伺服器。

1.在Cisco ISE管理介面中導航到Administration > Network Resources > External RADIUS Servers。

2.按一下Add按鈕配置新的外部RADIUS伺服器。

外部Radius伺服器

3.輸入Proxy DUO Server的名稱。

4.輸入Proxy DUO伺服器的正確IP地址，確保ISE和DUO伺服器之間正確通訊。

5.設定共用金鑰。

附註：必須將此共用金鑰配置到Proxy DUO伺服器才能成功建立RADIUS連線。

6.在正確輸入所有詳細資訊後，按一下Submit儲存新的Proxy DUO Server配置。

外部RADIUS伺服器

7.繼續執行管理> RADIUS伺服器序列。

8.按一下Add以建立新的RADIUS伺服器序列。

RADIUS伺服器序列

9.為RADIUS伺服器序列提供不同的名稱以便於識別。

10.找到以前配置的DUO RADIUS伺服器(在本指南中稱為DUO_Server)，並將其移至右側的選定清單中，將其包括在序列中。

11.按一下Submit完成並儲存RADIUS Server Sequence配置。

Radius伺服器序列配置。

將FTD整合為網路存取裝置。

1.導航到系統介面中的管理部分，然後從中選擇網路資源以訪問網路裝置的配置區域。

2.進入網路資源部分後，找到並點選Add按鈕以啟動新增新網路接入裝置的過程。

網路訪問裝置。

3.在所提供的欄位中，輸入網路訪問裝置名稱以標識網路中的裝置。

4.繼續指定FTD（Firepower威脅防禦）裝置的IP地址。

5.輸入之前在FMC（Firepower管理中心）設定期間建立的金鑰。此金鑰對於裝置之間的安全通訊至關重要。

6.按一下Submit（提交）按鈕完成此流程。

新增FTD作為NAD。

RADIUS設定

DUO配置。

DUO代理安裝。

按一下下一個連結，訪問DUO Proxy下載和安裝指南: 

https://duo.com/docs/authproxy-reference

將DUO Proxy與ISE和DUO Cloud整合。

1.使用您的憑證登入DUO Security網站https://duo.com/。

2.定位至應用部分，然後選擇保護應用程式以繼續。

DUO應用程式

3.在清單中搜尋「Cisco ISE RADIUS」選項，然後按一下Protect將其新增到您的應用。

ISE RADIUS選項

4.成功新增後，您將看到DUO應用程式的詳細資訊。向下滾動並按一下Save。

5.複製提供的整合金鑰、金鑰和API主機名；這些對即將採取的步驟至關重要。

ISE伺服器詳細資訊

6.在系統上啟動DUO Proxy Manager，以繼續設定。

DUO代理管理員

7.（可選）如果您的DUO Proxy伺服器需要代理配置才能連線到DUO Cloud，請輸入以下引數：

[main]
http_proxy_host=
http_proxy_port=

注意：確保用您的實際代理詳細資訊替換和。

8.現在，利用之前複製的資訊完成整合配置。 

[radius_server_auto]
ikey=
skey=
api_host=
radius_ip_1=
radius_secret_1=
failmode=safe
port=1812
client=ad_client

提示：line client=ad_client表示DUO Proxy使用Active Directory帳戶進行身份驗證。確保此資訊正確無誤，以完成與Active Directory的同步。

將DUO與Active Directory整合。

1.將DUO Authentication Proxy與Active Directory整合。

[ad_client]
host=
service_account_username=
service_account_password=
search_dn=DC=,DC=

2.使用DUO雲服務加入Active Directory。登入到https://duo.com/。

3.導航到「Users」，然後選擇「Directory Sync」以管理同步設定。

目錄同步

4.按一下「添加新同步」，然後從提供的選項中選擇「Active Directory」。 

新增新同步

5.選擇Add new connection，然後按一下Continue。

新增新的Active Directory

6.複製生成的整合金鑰、金鑰和API主機名。 

驗證代理詳細資訊

7.返回DUO Authentication Proxy配置並使用您獲得的新引數以及Active Directory管理員的服務帳戶憑據配置[cloud]部分：

[cloud]
ikey=
skey=
api_host=
service_account_username=\
service_account_password=

8.通過選擇「validate」選項驗證您的配置，以確保所有設定都是正確的。

Proxy DUO的配置。

9.驗證後，儲存配置並重新啟動DUO Authentication Proxy服務以應用更改。

重新啟動服務選項。

10.返回DUO管理控制面板，輸入Active Directory伺服器的IP地址以及使用者同步的基本DN。

目錄設定。

11.選擇Plain選項將系統配置為使用非NTLMv2身份驗證。

身份驗證型別。

12.儲存新設定以確保配置已更新。

儲存選項

13.使用「test connection」功能驗證DUO Cloud服務是否可以與Active Directory通訊。

測試連線選項。

14.確認Active Directory狀態顯示為「Connected」，表示已成功整合。

狀態成功。

通過DUO Cloud從Active Directory(AD)匯出使用者帳戶。

1.在Duo Admin面板中導航到Users > Directory Sync，以找到與Active Directory的目錄同步相關的設定。

使用者清單。

2.選擇要管理的Active Directory配置。

3.在配置設定中，識別並選擇要與Duo Cloud同步的Active Directory中的特定組。考慮使用所選內容的過濾選項。

4.按一下完成設定。

AD同步。

5.要立即啟動同步，請按一下立即同步。這會將使用者帳戶從Active Directory中的指定組匯出到Duo Cloud，從而允許在Duo Security環境中對其進行管理。

正在啟動同步

在Cisco DUO Cloud中註冊使用者。

使用者註冊可以通過各種方法驗證身份，例如代碼訪問、DUO Push、SMS代碼和令牌。 

1.導航至Cisco Cloud控制面板中的Users部分。

2.找到並選擇要註冊的使用者帳戶。

使用者帳戶清單。

3.按一下Send Enrollment Email按鈕以啟動登記流程。 

通過電子郵件註冊。

4.檢查電子郵件收件箱並開啟登記邀請以完成驗證過程。

有關登記流程的其他詳細資訊，請參閱以下資源：

• 通用註冊指南：https://guide.duo.com/universal-enrollment
• 傳統註冊指南：https://guide.duo.com/traditional-enrollment

配置驗證過程。

為確保您的配置準確且可操作，請驗證後續步驟：

1.啟動Web瀏覽器並輸入Firepower威脅防禦(FTD)裝置的IP地址以訪問VPN介面。

VPN登入。

2.出現提示時，輸入使用者名稱和密碼。 

附註：憑據是Active Directory帳戶的一部分。

3.當您收到DUO Push通知時，請使用DUO Mobile軟體批准該通知，以繼續執行驗證過程。

DUO Push。

4.找到並下載適用於Windows系統的Cisco AnyConnect VPN客戶端軟體包。

下載與安裝。

5.運行下載的AnyConnect安裝程式檔案，並繼續完成Windows裝置上安裝程式提供的說明。

6.開啟Cisco AnyConnect安全移動客戶端軟體。輸入FTD裝置的IP地址連線到VPN。

Any Connect軟體。

7.出現提示時，輸入VPN訪問憑證並再次授權DUO Push通知對連線進行身份驗證。

DUO Push。

VPN連線成功。

8.轉到操作> RADIUS >即時日誌以監控即時活動並驗證正確連線，訪問思科身份服務引擎(ISE)中的即時日誌。 

ISE即時日誌。

9.轉到Reports > Authentication logs以檢視DUO Admin面板中的身份驗證日誌，確認驗證成功。

身份驗證日誌。

共同問題。

工作場景。

在瞭解與此整合相關的具體錯誤之前，瞭解整個工作場景至關重要。

在ISE即時日誌中，我們可以確認ISE將RADIUS資料包轉發到DUO Proxy，並且使用者接受DUO Push後，即從DUO Proxy伺服器收到RADIUS訪問接受。

身份驗證成功。

結果成功。

來自ISE端的資料包捕獲顯示以下資訊：

ISE資料包捕獲。

錯誤11368請檢視外部RADIUS伺服器上的日誌以確定準確的故障原因。

錯誤 11368.

疑難排解:

— 驗證ISE中的RADIUS共用金鑰與FMC中配置的金鑰相同。

1.開啟ISE GUI。

2. Administration > Network Resources > Network Devices。

3.選擇DUO Proxy Server。

4.在共用金鑰旁邊，按一下「顯示」以檢視純文字檔案格式的金鑰。 

5.開啟FMC GUI。

6. Objects > Object Management > AAA Server > RADIUS Server Group。

7.選擇ISE伺服器。

8.重新輸入金鑰。

— 驗證DUO中的Active Directory整合。

1.開啟DUO Authentication Proxy Manager。

2.確認[ad_client]部分下的使用者和密碼。

3.按一下「驗證」以確認當前憑證是否正確。

錯誤11353：沒有更多外部RADIUS伺服器；無法執行故障轉移

錯誤 11353.

疑難排解:

— 驗證ISE中的RADIUS共用金鑰與DUO代理伺服器中配置的金鑰相同。

1.開啟ISE GUI。

2. Administration > Network Resources > Network Devices。

3.選擇DUO Proxy Server。

4.在共用金鑰旁邊，按一下「顯示」以檢視純文字檔案格式的金鑰。 

5.開啟DUO Authentication Proxy Manager。

6.驗證[radius_server_auto]部分並比較共用金鑰。

RADIUS會話不會顯示在ISE即時日誌中。

疑難排解:

— 檢驗DUO配置。

1.開啟DUO Authentication Proxy Manager。

2.驗證[radius_server_auto]部分中的ISE IP地址

— 驗證FMC配置。

1.開啟FMC GUI。       

2.轉到Objects > Object Management > AAA Server > RADIUS Server Group。

3.選擇ISE伺服器。

4.驗證ISE IP地址。   

• 在ISE中捕獲資料包以確認接收RADIUS資料包。

1.轉到操作>故障排除>診斷工具> TCP轉儲

其他故障排除。

— 啟用PSN中的後續元件作為調試：

   Policy-engine

   Prrt-JNI

   運行時AAA

要進一步診斷DUO身份驗證代理管理器中的故障，請檢查下一個連結：

https://help.duo.com/s/article/1126?language=en_US

DUO模板。

您可以使用下一個模板完成DUO Proxy伺服器的配置。

[main]    <--- OPTIONAL
http_proxy_host=
http_proxy_port=
[radius_server_auto]
ikey=xxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxxx
radius_ip_1=
radius_secret_1=xxxxxxxxx
failmode=safe
port=1812
client=ad_client

[ad_client]
host=
service_account_username=xxxxxxxx
service_account_password=xxxxxxxxxx
search_dn=DC=xxxxxx,DC=xxxx

[cloud]
ikey=xxxxxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxx
service_account_username=
service_account_password=xxxxxxxxxxxxx