Zertifikatsauthentifizierung & DUO SAML-Authentifizierung konfigurieren

Aktualisiert:20. Juli 2023
Dokument-ID:220600

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird ein Beispiel für die Implementierung einer zertifikatbasierten Authentifizierung und einer dualen SAML-Authentifizierung beschrieben.

    Voraussetzungen

    In diesem Leitfaden werden folgende Tools und Geräte verwendet:

    • Cisco Firepower Threat Defense (FTD) 
    • Firepower Management Center (FMC)
    • Interne Zertifizierungsstelle
    • Cisco DUO Premier-Konto
    • Cisco DUO-Authentifizierungsproxy
    • Cisco Secure Client (CSC)

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Basis-VPN,
    • SSL/TLS
    • Public-Key-Infrastruktur
    • Erfahrungen mit FMC
    • Cisco Secure Client
    • FTD-Code 7.2.0 oder höher
    • Cisco DUO-Authentifizierungsproxy

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco FTD (7.3.1)
    • Cisco FMC (7.3.1)
    • Cisco Secure Client (5.0.02075)
    • Cisco DUO-Authentifizierungsproxy (6.0.1)
    • Mac OS (13.4.1)
    • Active Directory

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Schritte für DUO konfigurieren

    In diesem Abschnitt werden die Schritte zum Konfigurieren von Cisco DUO Single Sign-on (SSO) beschrieben. Bevor Sie beginnen, stellen Sie sicher, dass der Authentifizierungsproxy implementiert ist.

    warning-icon

    Warnung: Wenn kein Authentifizierungsproxy implementiert wurde, enthält dieser Link den Leitfaden für diese Aufgabe. DUO-Authentifizierungsproxy-Leitfaden

    Erstellen einer Anwendungsschutzrichtlinie

    Schritt 1: Melden Sie sich über diesen Link beim Admin-Panel an Cisco Duo

    Cisco DUO homepageCisco DUO-Startseite

    Schritt 2: Navigieren Sie zu Dashboard > Anwendungen > Eine Anwendung schützen.

    Geben Sie in der Suchleiste "Cisco Firepower Threat Defense VPN" ein, und wählen Sie "Schützen".

    Protect an application screenshotSchützen eines Anwendungs-Screenshots

    Wählen Sie die Option mit nur Schutzart "2FA mit SSO gehostet von Duo".

    Schritt 3: Kopieren Sie diese URL-Informationen unter Metadaten.

    • Element-ID des Identitätsanbieters
    • SSO-URL
    • Abmelde-URL

    Example of information to copyBeispiel für zu kopierende Informationen

    note-iconHinweis: Die Links wurden aus dem Screenshot ausgelassen.

    Schritt 4: Wählen Sie "Zertifikat herunterladen", um das Zertifikat des Identitätsanbieters unter "Downloads" herunterzuladen.

    Schritt 5: Geben Sie die Informationen zum Service Provider ein.

    Cisco FirePOWER Base-URL - Der FQDN zum Erreichen des FTD

    Name des Verbindungsprofils - Name der Tunnelgruppe

    Anwendungsrichtlinie erstellen

    Schritt 1: So erstellen Sie eine Anwendungsrichtlinie unter Richtlinie Wählen Sie "Eine Richtlinie auf alle Benutzer anwenden", und wählen Sie "Oder erstellen Sie eine neue Richtlinie", wie im Bild gezeigt.

    Example of creating an application policyBeispiel für das Erstellen einer Anwendungsrichtlinie

    Example of creating an application policyBeispiel für das Erstellen einer Anwendungsrichtlinie

    Schritt 2: Geben Sie unter Richtlinienname den gewünschten Namen ein, wählen Sie unter Benutzer die Option "Authentifizierungsrichtlinie" und anschließend die Option "Durchsetzen von 2FA." Speichern Sie dann mit "Richtlinie erstellen".

    Example of creating an application policyBeispiel für das Erstellen einer Anwendungsrichtlinie

    Schritt 3: Wenden Sie die Richtlinie mit "Apply Policy" (Richtlinie anwenden) im nächsten Fenster an. Blättern Sie dann zum unteren Seitenrand, und wählen Sie "Save" (Speichern), um die DUO-Konfigurationen abzuschließen.

    Konfigurationsschritte für FMC

    Bereitstellung des Identitätszertifikats für die FTD

    In diesem Abschnitt wird die Konfiguration und Bereitstellung des Identitätszertifikats für die FTD beschrieben, die für die Zertifikatsauthentifizierung erforderlich ist. Stellen Sie sicher, dass Sie alle Konfigurationen bereitstellen, bevor Sie beginnen.

    Schritt 1: Navigieren Sie zuGeräte > Zertifikat, und wählen SieHinzufügen aus, wie im Bild dargestellt.

    Screenshot of Devices/CertificatesScreenshot der Geräte/Zertifikate

    Schritt 2: Wählen Sie die FTD-Appliance aus der Dropdown-Liste aus. Klicken Sie auf das Symbol +, um eine neue Zertifikatregistrierungsmethode hinzuzufügen.

    Screenshot of Add New CertificateScreenshot des neuen Zertifikats hinzufügen

    Schritt 3: Wählen Sie die bevorzugte Methode zum Abrufen von Zertifikaten in der Umgebung über den "Anmeldungstyp" aus, wie im Bild gezeigt.

    tcoutrie_1-1689786001509Screenshot der neuen Seite für die Zertifikatsregistrierung

    tcoutrie_0-1689785460404

    Tipp: Die verfügbaren Optionen sind: Selbstsigniertes Zertifikat - lokal neues Zertifikat generieren, SCEP - Simple Certificate Enrollment Protocol verwenden, um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, Manuell - Manuelles Installieren des Stamm- und Identitätszertifikats, PKCS12 - Verschlüsseltes Zertifikatpaket mit Stamm, Identität und privatem Schlüssel hochladen.

    Bereitstellung des IDP-Zertifikats für das FTD 

    In diesem Abschnitt wird die Konfiguration und Bereitstellung des IDP-Zertifikats für das FTD beschrieben. Stellen Sie sicher, dass Sie alle Konfigurationen bereitstellen, bevor Sie beginnen.

    Schritt 1: Navigieren Sie zu Geräte > Zertifikat, und wählen Sie Hinzufügen."

    Schritt 2: Wählen Sie die FTD-Appliance aus der Dropdown-Liste aus. Klicken Sie auf das Symbol +, um eine neue Zertifikatregistrierungsmethode hinzuzufügen.

    Schritt 3: Geben Sie im Fenster "Add Certificate Enrollment" (Zertifikatregistrierung hinzufügen) die erforderlichen Informationen ein, wie im Bild dargestellt, und klicken Sie dann auf "Save" (Speichern), wie im Bild dargestellt.

    • Name: Name des Objekts
    • Anmeldungstyp: Manuell
    • Kontrollkästchen aktiviert: Nur CA
    • CA Certificate: Pem Format des Zertifikats

    Example of creating a certificate enrollment objectBeispiel zum Erstellen eines Zertifikatregistrierungsobjekts

    caution-icon

    Vorsicht: Bei Bedarf kann die Option "Prüfung auf CA-Flag in grundlegenden Einschränkungen des CA-Zertifikats überspringen" verwendet werden. Verwenden Sie diese Option mit Vorsicht.

    Schritt 4: Wählen Sie das neu erstellte Zertifikatregistrierungsobjekt unter "Zertifikatregistrierung*:" und wählen Sie dann "Hinzufügen" aus, wie im Bild gezeigt.

    Screenshot of added certificate enrollment object and deviceScreenshot des hinzugefügten Zertifikatregistrierungsobjekts und des Geräts

    note-icon

    Hinweis: Nach dem Hinzufügen wird das Zertifikat sofort bereitgestellt.

    Erstellen des SAML-SSO-Objekts

    In diesem Abschnitt werden die Schritte zur Konfiguration von SAML SSO über FMC beschrieben. Stellen Sie sicher, dass Sie alle Konfigurationen bereitstellen, bevor Sie beginnen.

    Schritt 1: Navigieren Sie zu Objekte > AAA-Server > Single Sign-on Server, und wählen Sie "Single Sign-on Server hinzufügen" aus.

    example of creating a new SSO objectBeispiel zum Erstellen eines neuen SSO-Objekts

    Schritt 2: Geben Sie die erforderlichen Informationen unter "Erstellen einer Anwendungsschutzrichtlinie" ein.

    ". Um fortzufahren, nachdem Sie fertig sind, wählen Sie "Speichern".

    • Name*: Name des Objekts
    • Element-ID des Identitätsanbieters*: Element-ID aus Schritt 3
    • SSO-URL*: Anmelde-URL aus Schritt 3 kopiert
    • Abmelden-URL: Abmelden-URL aus Schritt 3 kopiert
    • Basis-URL: Verwenden Sie denselben FQDN wie die Cisco FirePOWER-Basis-URL in Schritt 5.
    • Identitätsanbieter-Zertifikat*: bereitgestelltes IDP-Zertifikat
    • Service Provider Certificate: Zertifikat auf der externen Schnittstelle des FTD

    Example of new SSO object.Beispiel für ein neues SSO-Objekt.

    note-icon

    Hinweis: Im Screenshot wurden die Links für die Element-ID, die SSO-URL und die Abmelde-URL weggelassen.

    Erstellen einer RAVPN-Konfiguration (Virtual Private Network) für Remote-Zugriff

    In diesem Abschnitt werden die Schritte zur RAVPN-Konfiguration mithilfe des Assistenten beschrieben.

    Schritt 1: Navigieren Sie zu Geräte > Remotezugriff Wählen Sie "Hinzufügen" aus

    Schritt 2: Geben Sie im Assistenten den Namen des neuen RAVPN Policy Wizard (RAVPN-Richtlinien-Assistenten) ein, und wählen Sie unter VPN Protocols: Add the Targeted Devices (VPN-Protokolle: Zielgeräte hinzufügen) die Option SSL aus, wie im Bild dargestellt. Wählen Sie "Weiter" nach Abschluss.

    Step 1 of the RAVPN wizardSchritt 1 des RAVPN-Assistenten

    Schritt 2: Legen Sie für das Verbindungsprofil die hier gezeigten Optionen fest: Wählen Sie nach Abschluss die Option "Weiter" aus.

    • Verbindungsprofilname: Verwenden Sie den Tunnelgruppennamen in Schritt 5 der Option "Create an Application Protection Policy".

    Authentifizierung, Autorisierung und Abrechnung (AAA):

    • Client-Zertifikat und SAML
    • Authentifizierungsserver:* Wählen Sie das SSO-Objekt aus, das während der Erstellung des SAML-SSO-Objekts erstellt wurde.

    Client-Adressenzuweisung:

    • AAA-Server verwenden (nur Bereich oder RADIUS) - Radius oder LDAP
    • DHCP-Server verwenden - DHCP-Server
    • IP-Adresspools verwenden - Lokaler Pool auf dem FTD
    Step 2 of RAVPN wizardSchritt 2 des RAVPN-Assistenten

    Tipp: Für diese Übung wird ein DHCP-Server verwendet.

    Schritt 3: Wählen Sie "+", um ein Web-Bereitstellungs-Image des bereitzustellenden Cisco Secure Client hochzuladen. Aktivieren Sie dann das Kontrollkästchen für das bereitzustellende CSC-Image. Wie im Bild gezeigt. Wählen Sie "Weiter" nach Abschluss.

    tcoutrie_5-1689774962848Schritt 3 RAVPN-Assistent

    Schritt 4: Setzen Sie diese Objekte (wie im Bild zu sehen): Wählen Sie "Weiter" einmal abgeschlossen.

    Schnittstellengruppe/Sicherheitszone:*: Externe Schnittstelle

    "Certificate Enrollment:*" (Zertifikatsregistrierung:*): Identitätszertifikat, das während des Abschnitts "Deploy Identity Certificate to the FTD" (Identitätszertifikat für FTD bereitstellen) dieses Leitfadens erstellt wurde

    tcoutrie_6-1689775004935Schritt 4 des RAVPN-Assistenten

    Tipp: Wenn dies nicht erstellt wurde, fügen Sie ein neues Objekt für die Zertifikatsregistrierung hinzu, indem Sie "+" auswählen.

    Schritt 6: Zusammenfassung

    Überprüfen Sie alle Informationen. Wenn alles korrekt ist, fahren Sie mit 'Beenden."

    tcoutrie_7-1689775076011Übersichtsseite

    Schritt 7. Bereitstellen der neu hinzugefügten Konfigurationen

    Überprüfung

    In diesem Abschnitt wird beschrieben, wie Sie einen erfolgreichen Verbindungsversuch überprüfen.

    Öffnen Sie den Cisco Secure Client, geben Sie den FQDN des FTD ein, und stellen Sie die Verbindung her.

    Geben Sie die Anmeldeinformationen auf der Seite SSO ein.

    tcoutrie_1-1689775208102SSO-Seite über Cisco Secure Client

    Akzeptieren Sie die DUO-Übertragung auf das registrierte Gerät.

    tcoutrie_0-1689775181360DUO-Push

    Verbindung erfolgreich hergestellt.

    Connected to FTDMit FTD verbunden

    Überprüfen Sie die Verbindung auf dem FTD mit dem Befehl: show vpn-sessiondb detail anyconnect

    Some information has been omitted from the output exampleIm Ausgabebeispiel wurden einige Informationen ausgelassen.

    Fehlerbehebung

    Dies sind mögliche Probleme, die nach der Implementierung auftreten.

    Problem 1: Fehler bei der Zertifikatauthentifizierung.

    Stellen Sie sicher, dass das Stammzertifikat auf dem FTD installiert ist.

    Verwenden Sie folgende Debugging-Optionen:

    debug crypto ca 14

    debug aaa shim 128

    debuggen aaa häufig 128

    Ausgabe 2: SAML-Fehler

    Diese Fehlerbehebungen können aktiviert werden, um:

    debug aaa shim 128

    debuggen aaa häufig 128

    debug webvpn anyconnect 128

    debug webvpn saml 255

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Jul-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Terrell Coutrier
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.