Configuración de la integración Duo con Active Directory e ISE para la autenticación de dos factores en clientes VPN de acceso remoto/Anyconnect

Opciones de descarga

  • PDF     (4.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (4.5 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (3.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de abril de 2023
ID del documento:217739

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la integración de inserción Duo con AD e ISE como la autenticación de dos factores para los clientes de AnyConnect conectados a ASA.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración de VPN de RA en ASA
    • Configuración RADIUS en ASA
    • ISE
    • Directorio activo
    • Aplicaciones Duo

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Microsoft 2016 Server
    • ASA 9.14(3)18 
    • Servidor ISE 3.0
    • Servidor Duo
    • Administrador de proxy de autenticación Duo

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento describe cómo configurar la integración de inserción Duo con Active Directory (AD) y Cisco Identity Service Engine (ISE) como autenticación de dos factores para los clientes de AnyConnect que se conectan a Cisco Adaptive Security Appliance (ASA).

    Diagrama y escenario de la red

    Network diagram

    Proceso de comunicación

    https://duo.com/docs/ciscoise-radius

    1. Autenticación principal iniciada a Cisco ISE
    2. Cisco ASA envía una solicitud de autenticación al proxy de autenticación Duo
    3. La autenticación principal utiliza Active Directory o RADIUS
    4. Conexión del proxy de autenticación dúo establecida para seguridad dúo a través del puerto TCP 443
    5. Autenticación secundaria a través del servicio Duo Security
    6. El proxy de autenticación dúo recibe respuesta de autenticación
    7. Acceso a Cisco ISE concedido

    Cuentas de usuario:

    • Administrador de Active Directory: se utiliza como cuenta de directorio para permitir que el proxy de autenticación Duo se enlace al servidor de Active Directory para la autenticación principal.
    • usuario de prueba de Active Directory
    • Usuario de prueba Duo para autenticación secundaria

    Configuraciones de Active Directory

    El servidor de Windows está preconfigurado con los servicios de dominio de Active Directory.

    Nota: Si RADIUS Duo Auth Proxy Manager se ejecuta en el mismo equipo host de Active Directory, los roles del servidor de directivas de redes (NPS) deben desinstalarse/eliminarse; si se ejecutan ambos servicios RADIUS, pueden entrar en conflicto y afectar al rendimiento. 

    Para lograr la configuración de AD para la autenticación y la identidad de usuario en usuarios de VPN de acceso remoto, se requieren algunos valores.

    Todos estos detalles deben crearse o recopilarse en Microsoft Server antes de poder realizar la configuración en el servidor proxy ASA y Duo Auth.

    Los valores principales son:

    • Nombre de dominio. Este es el nombre de dominio del servidor. En esta guía de configuración, agarciam.cisco es el nombre de dominio.
    • Dirección IP/FQDN del servidor. La dirección IP o FQDN utilizado para alcanzar el servidor de Microsoft. Si se utiliza un FQDN, se debe configurar un servidor DNS dentro de ASA y el proxy de Duo Auth para resolver el FQDN.

        En esta guía de configuración, este valor es agarciam.cisco (que se resuelve en 10.28.17.107).

    • Puerto del servidor. El puerto utilizado por el servicio LDAP. De forma predeterminada, LDAP y STARTTLS utilizan el puerto TCP 389 para LDAP, y LDAP sobre SSL (LDAP) utiliza el puerto TCP 636.
    • CA raíz. Si se utiliza LDAPS o STARTTLS, se requiere la CA raíz utilizada para firmar el certificado SSL utilizado por LDAPS.
    • Nombre de usuario y contraseña del directorio. Esta es la cuenta utilizada por el servidor proxy Duo Auth para enlazar al servidor LDAP y autenticar usuarios y buscar usuarios y grupos.
    • Nombre distinguido (DN) de base y grupo. El DN base es el punto de partida para el proxy de Duo Auth e indica al directorio activo que comience la búsqueda y autentique a los usuarios.

       En esta guía de configuración, el dominio raíz agarciam.cisco se utiliza como DN base y el DN de grupo es Duo-USERS.

    1. Para agregar un nuevo usuario Duo, en Windows Server, navegue hasta el icono de Windows en la parte inferior izquierda y haga clic en Windows Administrative tools, como se muestra en la imagen.

    Windows Aministrative

    2. En la ventana Herramientas administrativas de Windows, navegue hasta Usuarios y equipos de Active Directory

    En el panel Usuarios y equipos de Active Directory, expanda la opción de dominio y desplácese a la carpeta Usuarios.

    En este ejemplo de configuración, Duo-USERS se utiliza como el grupo de destino para la autenticación secundaria.

    Active Directory

    3. Haga clic con el botón derecho del ratón en la carpeta Users y seleccione New > User, como se muestra en la imagen.

    User creation

    4. En la ventana Nuevo Usuario de Objeto, especifique los atributos de identidad para este nuevo usuario y haga clic en Siguiente, como se muestra en la imagen.

    User setup

    5. Confirme la contraseña y haga clic en Next, luego en Finish cuando se verifique la información del usuario.

    User setup2

    6. Asigne el nuevo usuario a un grupo específico, haga clic con el botón derecho en él y seleccione Agregar a un grupo, como se muestra en la imagen.

    Add to group

    7. En el panel Seleccionar grupos, escriba el nombre del grupo deseado y haga clic en Comprobar nombres.

    A continuación, seleccione el nombre que coincida con los criterios y haga clic en Aceptar.

    Check names

    8. Este es el usuario que se utiliza en este documento como ejemplo.

    Configuraciones Duo

    1. Inicie sesión en el portal de administración de Dudo.

    Duo login page

    2.En el panel lateral izquierdo, navegue hasta Usuarios, haga clic en Agregar usuario y escriba el nombre del usuario que coincida con su nombre de usuario de dominio activo, luego haga clic en Agregar usuario.

    Duo Users

    3. En el nuevo panel de usuario, rellene el espacio en blanco con toda la información necesaria.

    Duo Users2

    4. En dispositivos de usuario, especifique el método de autenticación secundario.

    Nota: En este documento se utiliza el método Duo push para dispositivos móviles, por lo que es necesario agregar un dispositivo telefónico.

    Haga clic en Agregar teléfono.

    Add phone

    5. Escriba el número de teléfono del usuario y haga clic en Agregar teléfono.

    Add phone2

    6. En el panel izquierdo Duo Admin, navegue hasta Users y haga clic en el nuevo usuario.

    duouser

    Nota: En caso de que no tenga acceso a su teléfono en este momento, puede seleccionar la opción de correo electrónico.

    7.Navegue hasta la sección Teléfonos y haga clic en Activar Duo Mobile.

    phones

    8. Haga clic en Generar Duo Mobile Activation Code.

    Activate Duo

    9. Seleccione Correo electrónico para recibir las instrucciones por correo electrónico, escriba su dirección de correo electrónico y haga clic en Enviar instrucciones por correo electrónico.

    Email instructions

    10. Recibe un correo electrónico con las instrucciones, como se muestra en la imagen.

    Email Duo

    11. Abra la aplicación Duo Mobile desde su dispositivo móvil y haga clic en Agregar, luego seleccione Usar código QR y escanee el código desde el correo electrónico de instrucciones.

    12. Se agrega un nuevo usuario a la aplicación Duo Mobile.

    Configuración de proxy de autenticación Duo

    1.Descargue e instale Duo Auth Proxy Manager desde https://duo.com/docs/authproxy-reference.

    Nota: En este documento, Duo Auth Proxy Manager está instalado en el mismo servidor de Windows que aloja los servicios de Active Directory. 

    2.En el panel Duo Admin, navegue hasta Applications y haga clic en Protect an Application.

    Proxy config

    3. En la barra de búsqueda, busque Cisco ISE Radius.

    Protect application

    4. Copie la clave de integración, la clave secreta y el nombre de host de la API. Necesita esta información para la configuración de Duo Authentication Proxy.

    Cisco ISE

    5. Ejecute la aplicación Duo Authentication Proxy Manager y complete la configuración para el cliente de Active Directory y el servidor ISE Radius y haga clic en Validar.

    Nota: Si la validación no se realiza correctamente, consulte la ficha debug para obtener detalles y corrija en consecuencia.

    Validation

    Configuraciones de Cisco ISE

    1. Inicie sesión en el portal ISE Admin.

    2.Expanda la pestaña Cisco ISE y navegue hasta Administration, luego haga clic en Network Resources y haga clic en External RADIUS Servers.

    Cisco ISE

    3. En la pestaña External Radius Servers, haga clic en Add.

    Radius servers

    4. Rellene el espacio en blanco con la configuración RADIUS utilizada en el Administrador de Proxy de Autenticación Duo y haga clic en Enviar.

    Validation

    5. Acceda a la pestaña Secuencias de Servidor RADIUS y haga clic en Agregar.

    Radius servers sequence

    6. Especifique el nombre de la secuencia y asigne el nuevo servidor externo RADIUS. Haga clic en Enviar.

    Radius servers sequence2

    7. En el menú Panel, acceda a Política y haga clic en Juegos de Políticas.

    Policy Sets

    8. Asigne la secuencia RADIUS a la política por defecto.

    Nota: En este documento, se aplica la secuencia Duo a todas las conexiones, por lo que se utiliza la política predeterminada. La asignación de políticas puede variar según los requisitos.

    Default Policy Sets

    Configuración RADIUS/ISE de Cisco ASA

    1. Configure el servidor RADIUS de ISE en Grupos de servidores AAA, navegue hasta Configuración, haga clic en Administración de dispositivos y expanda la sección Usuarios/AAA, seleccione Grupos de servidores AAA.

    Configuration

    2. En el panel AAA Server Groups, haga clic en Add.

    AAA Server Groups

    3. Seleccione el nombre del grupo de servidores y especifique RADIUS como el protocolo que desea utilizar y, a continuación, haga clic en Aceptar.

    AAA Server Groups config

    5. Seleccione el nuevo grupo de servidores y haga clic en Agregar en Servidores en el panel Grupo Seleccionado, como se muestra en la imagen.

    AAA Server Groups ISE

    6. En la ventana Edit AAA Server, seleccione el nombre de la interfaz, especifique la dirección IP del servidor ISE, escriba la clave secreta RADIUS y haga clic en Ok.

    Nota: Toda esta información debe coincidir con la especificada en Duo Authentication Proxy Manager.

    Edit AAA Server

    Configuración de CLI.

    aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

    Configuración de VPN de acceso remoto de Cisco ASA

    
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

    Prueba

    1. Abra la aplicación Anyconnect en su dispositivo PC. Especifique el nombre de host de la cabecera VPN ASA e inicie sesión con el usuario creado para la autenticación secundaria Duo y haga clic en Aceptar.

    VPN

    2. Recibió una notificación de inserción Duo en el dispositivo Duo Mobile del usuario especificado.

    3. Abra la notificación de Duo Mobile App y haga clic en Aprobar.

    Verify Identity

    Verify Identity Approve

    4. Acepte el banner y se establecerá la conexión.

    VPN connection

    VPN connection Accept

    Troubleshoot

    En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

    Duo Authentication Proxy incluye una herramienta de depuración que muestra los motivos de error y fallo.

    Depuraciones de trabajo

    Nota: La siguiente información se almacena en C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.log.

    Output

    Output2

    Output3

    Output4

    1. Problemas de conectividad, IP incorrecta, FQDN/nombre de host no resuelto en la configuración de Active Directory.

    Output5

    Output6

    2. Contraseña incorrecta para el usuario Administrador en Active Directory.

    Output7

    Depuraciones.

    Output8

    3. Dominio base incorrecto.

    Output9

    Depuraciones.

    Output10

    4. Valor de RADIUS de clave incorrecta.

    Output11

    Depuraciones

    Output12

    5. Compruebe que el servidor ISE envía paquetes de solicitud de acceso.

    pcap

    6. Para confirmar que el servidor proxy de autenticación Duo funciona, Duo proporciona la herramienta NTRadPing para simular paquetes de solicitud de acceso y respuesta con Duo.

         6.1 Instale NTRadPing en un equipo diferente y genere tráfico.

    Nota: En este ejemplo se utiliza la máquina Windows 10.28.17.3.

         6.2 Configure con los atributos utilizados en la configuración de ISE Radius.

    Atributes ISE

         6.3 Configure Duo Authentication Proxy Manager de la siguiente manera.

    Duo Auth

         6.4. Desplácese hasta la herramienta NTRadPing y haga clic en Enviar. Recibirá una notificación de inserción Duo en el dispositivo móvil asignado.

    NTRadPing

    pcap2

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    18-Apr-2023
    Recertificación
    1.0
    15-Mar-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Alan Omar Garcia
      Cisco TAC Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos