使用Duo配置ISE 3.3本機多因素身份驗證
簡介
本文檔介紹如何將身份服務引擎(ISE)3.3補丁1與Duo整合以實現多重身份驗證。
必要條件
需求
思科建議您瞭解以下主題的基本知識:
-
ISE
-
Duo
採用元件
從3.3版補丁1開始,可以將ISE配置為與Duo服務進行本地整合,無需身份驗證代理。
本檔案中的資訊是根據:
- Cisco ISE版本3.3補丁1
- Duo
- Cisco ASA版本9.16(4)
- 思科安全使用者端版本5.0.04032
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
流程圖
步驟
- 配置階段包括選擇Active Directory組,使用者將同步到這些組,並且此同步在MFA嚮導完成之後進行。它由兩個步驟組成。查詢Active Directory以檢索使用者和某些屬性的清單。使用思科ISE管理API呼叫Duo Cloud,將使用者推入其中(管理員需要註冊使用者)。 註冊使用者可包括啟用Duo Mobile使用者的可選步驟,這允許使用者使用帶有Duo Push的單點選身份驗證。
- 啟動VPN連線後,使用者輸入其使用者名稱和密碼,然後點選OK。網路裝置向PSN傳送RADIUS訪問請求。
- PSN節點通過Active Directory對使用者進行身份驗證。
- 當身份驗證成功且配置了MFA策略時,PSN會聯絡Duo Cloud。通過思科的ISE Auth API呼叫Duo Cloud以呼叫Duo的二級身份驗證。ISE通過SSL TCP埠443與Duos服務通訊。
- 進行第二因素認證,使用者完成第二因素認證過程。
- Duo對PSN作出響應,提供第二因素身份驗證的結果。
- Access-Accept將傳送到網路裝置並建立VPN連線。
組態
選擇要保護的應用程式
1.導航至Duo Admin Dashboard。使用管理員憑據登入。
2.定位至控制面板>應用程式>應用程式目錄。查詢Cisco ISE Auth API並選擇+ Add。
ISE身份驗證API 1
3.記下Integrationkey和Secret金鑰。
ISE身份驗證API 2
4.定位至控制面板>應用程式>應用程式目錄。查詢Cisco ISE管理API並選擇+新增。
ISE管理API 1
5.記下Integration 金鑰、Secret key和API主機名。
ISE管理API 2
配置API許可權
1.定位至控制面板>應用程式>應用程式。選擇Cisco ISE Admin API。
2.選中授予讀取資源和授予寫入資源許可權。按一下「Save Changes」。
管理API許可權
將ISE與Active Directory整合
1.導航到管理>身份管理>外部身份庫>Active Directory>Add。提供加入點名稱、Active Directory域並按一下Submit。
Active Directory 1
2.當系統提示將所有ISE節點加入此Active Directory域時,按一下Yes。
Active Directory 2
3.提供AD使用者名稱和密碼,然後按一下OK。
Active Directory 3
4.在ISE中訪問域所需的Active Directory帳戶可以具有以下任一項:
- 將工作站新增到相應域中的域使用者許可權。
- 在相應電腦容器上建立ISE電腦帳戶的「建立電腦對象」或「刪除電腦對象」許可權,ISE電腦帳戶在加入ISE電腦到域之前建立。
5. AD的狀態為運行。
Active Directory 4
6.定位至組>新增>從目錄選擇組>檢索組。選中您選擇的AD組(用於同步使用者和授權策略)對應的覈取方塊:
Active Directory 5
7.按一下儲存以儲存檢索到的AD組。
Active Directory 6
啟用開放式API
- 導航到Administration > System > Settings > API Settings > API Service Settings.Enable Open API,然後按一下Save。
開放式API
啟用MFA身份源
- 導航到管理>身份管理>設定> 外部身份源設定。啟用MFA,然後按一下Save。
ISE MFA 1
配置MFA外部身份源
- 導航到管理>身份管理>外部身份源。按一下Add,然後在「Welcome Screen」上按一下Let's Do It。
ISE Duo嚮導1
2.在下一個螢幕上,配置Connection Name並按一下Next。
ISE雙向2
3.從Select Applications到Protect步驟配置API主機名、Cisco ISE管理API整合、金鑰、Cisco ISE身份驗證API整合和金鑰的值。
ISE Duo嚮導3
4.按一下測試連線,測試連線成功後,按一下下一步。
ISE雙向4
5.配置身份同步。此過程使用之前提供的API憑據將您選擇的Active Directory組中的使用者同步到Duo帳戶。選擇Active Directory加入點,然後按一下下一步。
ISE Duo嚮導5
6.選擇希望使用者與Duo同步的Active Directory組。按「Next」(下一步)。
ISE Duo嚮導6
7.驗證設定是否正確,然後按一下完成。
ISE Duo嚮導7
將使用者註冊到Duo
1.開啟Duo Admin Dashboard,然後導航至Dashboard > Users。
2.按一下從ISE同步的使用者。
Duo註冊1
3.向下滾動至Phones,然後按一下Add Phone。
Duo註冊2
4.輸入電話號碼,然後按一下Add Phone。
Duo註冊3
配置策略集
配置身份驗證策略
1.定位至策略>策略集,然後選擇要在其中啟用MFA的策略集。將主身份驗證身份庫配置為Active Directory的身份驗證策略。
策略集1
配置MFA策略
1.在ISE上啟用MFA後,ISE策略集的新部分可用。展開MFA Policy,然後按一下+以新增MFA Policy。通過選擇之前在使用部分中配置的DUO-MFA,配置您選擇的MFA條件。
2.按一下Save。
ISE策略
配置授權策略
1.使用您選擇的Active Directory組條件和許可權配置授權策略。
策略集3
限制
撰寫本檔案時:
1.僅支援Duo按鍵和電話作為第二因素身份驗證方法
2.沒有組推送到Duo Cloud,僅支援使用者同步
3.多重身份驗證支援以下專案:
- VPN使用者身份驗證
- TACACS+管理員訪問身份驗證
驗證
1.開啟Cisco Secure Client,按一下Connect,然後提供Username和Password,然後按一下OK。
VPN使用者端
2.使用者的流動裝置必須收到Duo Push通知。批準它並建立VPN連線。
Duo按
3.導航至ISE Operations >Live Logs以確認使用者身份驗證。
即時日誌1
4.按一下Details Authentication Report(詳細資訊身份驗證報告),驗證Authentication Policy(身份驗證策略)以及Authorization Policy(授權策略)和Authorization Result(授權結果)。滾動瀏覽右側的步驟。要確認MFA成功,必須出現MultiFactor Authentication is Successful行:
即時日誌2
疑難排解
在ISE上啟用的調試:
| 使用案例 | 日誌元件 | 日誌檔案 | 關鍵日誌消息 |
| MFA相關日誌 | policy-engine | ise-psc.log | DuoMfaAuthApiUtils -:::: — 已向Duo Client Manager提交請求 DuoMfaAuthApiUtils —> Duo響應 |
| 策略相關日誌 | prrt-JNI | prrt-management.log | RadiusMfaPolicyRequestProcessor TacacsMfaPolicyRequestProcessor |
| 身份驗證相關日誌 | 運行時AAA | prrt-server.log | MfaAuthenticator::onAuthenticateEvent MfaAuthenticator::sendAuthenticateEvent MfaAuthenticator::onResponseEvaluatePolicyEvent |
| Duo Authentication、ID Sync相關日誌 | duo-sync-service.log |
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
12-Jun-2026
|
更新的簡介、標題、拼寫、語法、句子結構、替代文字、間距、內嵌URL、HTML URL |
2.0 |
08-May-2025
|
流更新 |
1.0 |
11-Dec-2023
|
初始版本 |
意見