تكوين Duo Multi Factor Authentication للعمل باستخدام UCS Manager

المقدمة

يصف هذا المستند التكوين وأفضل الممارسات لتنفيذ Cisco Duo Multi-Factor Authentication (MFA) باستخدام برنامج UCS Manager.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• برنامج UCS Manager
• Cisco Duo

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يستخدم Cisco UCS Manager مصادقة ثنائية العوامل لتسجيل دخول المستخدم البعيد. يتطلب تسجيل الدخول إلى المصادقة ثنائية العوامل اسم مستخدم ورمزا رمزيا ومجموعة كلمة مرور في حقل كلمة المرور.

يتم دعم المصادقة ثنائية العوامل عند إستخدام خدمة مصادقة طلب اتصال المستخدم البعيد (RADIUS) أو نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية +(TACACS+) مجموعات الموردين مع مجالات المصادقة المعينة مع مصادقة ثنائية العوامل لتلك المجالات. لا تدعم المصادقة ثنائية العوامل مراقب أداء الشبكة البينية (IPM) ولا تكون مدعومة عند تعيين نطاق المصادقة على البروتوكول الخفيف للوصول إلى الدليل
(LDAP)، محلي، أو بلا.

مع التنفيذ الثنائي، يتم إجراء المصادقة متعددة العوامل عبر وكيل المصادقة الثنائي وهي خدمة برمجية محلية تتلقى طلبات المصادقة من أجهزتك وتطبيقاتك المحلية عبر RADIUS أو LDAP، وتقوم بتنفيذ المصادقة الأولية إختياريا مقابل دليل LDAP أو خادم مصادقة RADIUS، ثم تتصل ب Duo لإجراء مصادقة ثانوية. بمجرد موافقة المستخدم على طلب العامل الثنائي، والذي يتم إستلامه كإعلام دفع من Duo Mobile، أو كمكالمة هاتفية، وما إلى ذلك، يقوم وكيل Duo بإرجاع موافقة الوصول إلى الجهاز أو التطبيق الذي طلب المصادقة.

التكوين

يغطي هذا التكوين متطلبات تنفيذ Duo بنجاح باستخدام UCS Manager من خلال LDAP و RADIUS.

ملاحظة: للحصول على تكوين وكيل المصادقة الثنائي الأساسي، يرجى التحقق من إرشادات وكيل Duo: مستند وكيل Duo

تكامل LDAP

برنامج UCS Manager

انتقل إلى مدير UCS > قسم الإدارة > إدارة المستخدم > LDAP ويمكن LDAP Provider SSL، وهذا يعني أن التشفير مطلوب للاتصالات مع قاعدة بيانات LDAP. يستخدم LDAP STARTTLS. وهذا يسمح بالاتصال المشفر بواسطة منفذ الاستخدام 389. تفاوض Cisco UCS جلسة أمان طبقة النقل (TLS) على المنفذ 636 ل SSL، ولكن يبدأ الاتصال الأولي غير مشفر على المنفذ 389.

Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
Base DN: Specify DN path
Port: 389 or whatever your preference is for STARTTLS traffic.
Timeout: 60 seconds
Vendor: MS AD

ملاحظة: تعمل STARTTLS على منفذ LDAP قياسي، لذلك وعلى عكس LDAPs، تستخدم عمليات تكامل STARTTLS port= field not ssl_port= field على وكيل المصادقة الثنائي.

في وكيل المصادقة الثنائي

[ldap_server_auto]
ikey=
skey_protected= ==
api_host=api.XXXXXX.duosecurity.com
client=ad_client1
failmode=secure
port=389 or the port of your LDAP or STARTTLS traffic.
ssl_port=636 or the port of your LDAPS traffic.
allow_unlimited_binds=true
exempt_primary_bind=false
ssl_key_path=YOURPRIVATE.key
ssl_cert_path=YOURCERT.pem
exempt_primary_bind=false
exempt_ou_1=full DN path

تكامل RADIUS

برنامج UCS Manager

انتقل إلى مدير UCS Manager > Admin > إدارة المستخدم > Radius وانقر على مزودي RADIUS:

Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
Timeout: 60 seconds
Retries: 3

وكيل المصادقة الثنائي

[radius_server_auto]
ikey=DIXXXXXXXXXXXXXXXXXX
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
api_host=api-XXXXXXXX.duosecurity.com
radius_ip_1=5.6.7.8
radius_secret_1=radiussecret1
client=ad_client
port=18121
failmode=safe

أفضل الممارسات لتثبيت وكيل المصادقة الثنائي وتكوينه

نشر وكيل المصادقة في شبكة داخلية ذات جدران نارية:

•  السماح بالاتصال الصادر من وكيل المصادقة إلى الإنترنت العام على TCP/443. إذا كانت هناك حاجة إلى مزيد من القيود، يرجى مراجعة قائمة نطاقات IP الثنائية إلى القائمة المسموح بها.

• كما يمكن تكوين وكيل المصادقة الثنائي للوصول إلى خدمة Duo من خلال وكيل ويب تم تكوينه مسبقا يدعم بروتوكول CONNECT.

• إمكانية الاتصال بالنازحين المناسبين، بشكل نموذجي عبر TCP/636 أو TCP/389 أو UDP/1812

• يسمح بالاتصال بالوكيل على منافذ RADIUS أو LDAP أو LDAPs المناسبة. تسمح هذه القواعد للأجهزة/التطبيقات بمصادقة المستخدمين مقابل الوكلاء.

• إذا كانت أي أجهزة فحص SSL موجودة في البيئة، فقم بتعطيل/السماح بفحص SSL للقائمة ل IPs لوكيل المصادقة.

• قم بتكوين كل قسم [radius_server_method(x)] و[ldap_server_auto(x)] للاستماع على منفذ فريد.
  اقرأ المزيد حول كيفية إستخدام وكيل مصادقة Duo لتشغيل تطبيقات متعددة على Duo Site Duo للتطبيقات المتعددة.

• أستخدم أسرار RADIUS وكلمات المرور الفريدة لكل جهاز.

• أستخدم كلمات المرور المحمية/المشفرة في ملف تكوين الوكيل.

• على الرغم من إمكانية وجود وكيل المصادقة على الخوادم متعددة الأغراض مع الخدمات الأخرى، يوصى باستخدام خادم (خوادم) مخصص.

• تأكد من أن وكيل المصادقة يشير إلى خادم NTP موثوق به لضمان التاريخ والوقت الدقيقين.

• قبل ترقية وكيل المصادقة، قم دائما بإجراء نسخة إحتياطية من ملف التكوين.
• بالنسبة لخوادم وكيل المصادقة المستندة إلى Windows، قم بتكوين خدمة وكيل مصادقة الأمان الثنائي لتضمين بعض خيارات الاسترداد في حالة فشل الطاقة أو الشبكة:
  
  الخطوة 1. ضمن الخدمات على الخادم الخاص بك، انقر بزر الماوس الأيمن فوق خدمة وكيل مصادقة الأمان الثنائي، ثم انقر فوق تفضيلات.

      الخطوة 2. انقر فوق إسترداد، ثم قم بتكوين الخيارات لإعادة تشغيل الخدمة بعد حدوث حالات فشل.

• بالنسبة للخوادم الوكيلة للمصادقة المستندة إلى نظام التشغيل Linux، انقر فوق نعم إلى المطالبة المرئية على التثبيت التي تسأل عما إذا كنت تريد إنشاء برنامج نصي InIt. بعد ذلك، عند بدء تشغيل وكيل المصادقة، أستخدم أمرا مثل بدء Sudo service duoauthproxy، والذي قد يختلف الأمر الخاص بنص init بناء على النظام الذي تستخدمه.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

هناك حاليا ما من خاص أستكشاف الأخطاء وإصلاحها معلومة يتوفر ل هذا تشكيل.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems