- Cisco ISEに対して開始されたプライマリ認証。
- Cisco ASAがDuo認証プロキシに認証要求を送信します。
- プライマリ認証では、Active DirectoryまたはRADIUSを使用します。
- TCPポート443経由でDuo SecurityへのDuo認証プロキシ接続が確立されました。
- Duo Securityのサービスを介した二次認証。
- Duo認証プロキシが認証応答を受信します。
- Cisco ISEアクセスが許可されます。
ユーザアカウント:
- Active Directory Admin:Duo Auth Proxyがプライマリ認証用にActive Directoryサーバにバインドできるようにするためのディレクトリアカウントとして使用されます。
- Active Directoryテストユーザ
- セカンダリ認証のためのDuoテストユーザ
Active Directoryの設定
Windowsサーバには、Active Directoryドメインサービスが事前設定されています。
注: RADIUS Duo Auth Proxy Managerが同じActive Directoryホストマシンで実行されている場合は、ネットワークポリシーサーバー(NPS)の役割をアンインストールまたは削除する必要があります。両方のRADIUSサービスが実行されると、競合が発生し、パフォーマンスに影響を与える可能性があります。
リモートアクセスVPNユーザの認証とユーザIDに対してAD設定を行うには、いくつかの値が必要です。
これらの詳細情報はすべて、ASAおよびDuo Authプロキシサーバで設定を行う前に、Microsoftサーバで作成または収集する必要があります。
主な値は次のとおりです。
- ドメイン名.これはサーバのドメイン名です。この設定ガイドでは、agarciam.ciscoがドメイン名です。
- サーバのIP/完全修飾ドメイン名(FQDN)アドレス。Microsoftサーバに到達するために使用されるIPアドレスまたはFQDN。FQDNを使用する場合、DNSサーバはASAおよびDuo認証プロキシ内で設定してFQDNを解決する必要があります。
この設定ガイドでは、この値はagarciam.cisco(10.28.17.107に解決)です。
- サーバポート。LDAPサービスが使用するポート。デフォルトでは、LDAPおよびSTARTTLSはLDAPにTCPポート389を使用し、LDAP over SSL(LDAPS)はTCPポート636を使用します。
- ルートプロセッサ。LDAPSまたはSTARTTLSを使用する場合、LDAPSで使用するSSL証明書の署名に使用するルートCAが必要です。
- ディレクトリのユーザ名とパスワードこれは、Duo AuthプロキシサーバがLDAPサーバにバインドし、ユーザを認証し、ユーザとグループを検索するために使用するアカウントです。
- ベースおよびグループの識別名(DN)。ベースDNはDuo Authプロキシの出発点であり、ユーザの検索と認証を開始するようにActive Directoryに指示します。
このコンフィギュレーションガイドでは、ルートドメインagarciam.ciscoがベースDNとして使用され、グループDNがDuo-USERSです。
1. 新しいDuoユーザを追加するには、Windows Serverで、左下のWindowsアイコンに移動し、図のようにWindows Administrative toolsをクリックします。
![Windows管理](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-01.png)
2. Windowsの管理ツールウィンドウで、Active Directoryユーザとコンピュータに移動します。
Active Directory Users and Computersパネルで、domainオプションを展開し、Usersフォルダに移動します。
この設定例では、セカンダリ認証のターゲットグループとしてDuo-USERSが使用されています。
![Active Directory](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-02.png)
3. 図に示すように、Usersフォルダを右クリックし、New > Userの順に選択します。
![ユーザの作成](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-03.png)
4. 「新規オブジェクト – ユーザー」ウィンドウで、図に示すように、この新規ユーザーのID属性を指定し、「次へ」をクリックします。
![ユーザ設定1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-04.png)
5. パスワードを確認して、Nextをクリックし、ユーザ情報を確認したらFinishをクリックします。
![ユーザ設定2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-05.png)
6. 図に示すように、新しいユーザを特定のグループに割り当て、それを右クリックして、Add to a groupを選択します。
![グループに追加](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-06.png)
7. 「グループの選択」パネルで、目的のグループの名前を入力し、「名前のチェック」をクリックします。
次に、条件に一致する名前を選択して、OKをクリックします。
![名前の確認](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-07.png)
8. これは、このドキュメントで例として使用されているユーザです。
Duo構成
1. Duo Adminポータルにログインします。
![Duoログインページ](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-08.png)
2. 左側のパネルで、Usersに移動し、Add Userをクリックして、Active Domainユーザ名に一致するユーザの名前を入力し、Add Userをクリックします。
![Duoユーザ1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-09.png)
3. 新しいユーザパネルで、必要な情報をすべて入力します。
![Duoユーザ2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-10.png)
4. ユーザー・デバイスの下で、セカンダリ認証方法を指定します。
注:このドキュメントでは、モバイルデバイス用のDuoプッシュ方式が使用されているため、電話デバイスを追加する必要があります。
Add Phoneをクリックします。
![電話1の追加](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-11.png)
5. ユーザーの電話番号を入力し、電話の追加をクリックします。
![電話2の追加](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-12.png)
6. 左側のDuo AdminパネルでUsersに移動し、新しいユーザをクリックします。
![Duoユーザ](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-13.png)
注:現時点で電話へのアクセス権がない場合は、電子メールオプションを選択できます。
7. Phonesセクションに移動し、Activate Duo Mobileをクリックします。
![電話](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-14.png)
8. [Duo Mobile Activation Codeの生成]をクリックします。
![デュオの有効化](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-15.png)
9. 「Email」を選択して指示を電子メールで受け取り、電子メールアドレスを入力して「Send Instructions by email」をクリックします。
![電子メールによる指示](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-16.png)
10. 図に示すように、手順が記載された電子メールを受信します。
![EメールDuo](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-17.png)
11. 携帯端末からDuoモバイルアプリを開き、追加をクリックし、QRコードを使用を選択し、手順メールからコードをスキャンします。
12. Duoモバイルアプリに新しいユーザーが追加されました。
Duo認証プロキシの設定
1. Cisco Duo AuthenticationからDuo Auth Proxy Managerをダウンロードしてインストールします。
注:このドキュメントでは、Duo Auth Proxy Managerは、Active Directory(AD)サービスをホストする同じWindowsサーバにインストールされています。
2. Duo Admin PanelでApplicationsに移動し、Protect an Applicationをクリックします。
![プロキシ設定](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-18.png)
3. 検索バーで、Cisco ISE Radiusを探します。
![アプリケーションの保護](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-19.png)
4. 統合キー、秘密キー、およびAPIホスト名をコピーします。この情報は、Duo認証プロキシの設定に必要です。
![Cisco ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-20.png)
5. Duo Authentication Proxy Managerアプリケーションを実行し、Active DirectoryクライアントとISE Radiusサーバの両方の設定を完了して、Validateをクリックします。
注:検証が失敗した場合は、「デバッグ」タブで詳細を参照し、状況に応じて修正します。
![検証](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-21.png)
Cisco ISEの設定
1. ISE管理ポータルにログインします。
2. Cisco ISEタブを展開し、Administrationに移動し、Network Resourcesをクリックし、External RADIUS Serversをクリックします。
![Cisco ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-22.png)
3. External Radius Serversタブで、Addをクリックします。
![RADIUS サーバ](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-23.png)
4. Duo Authentication Proxy Managerで使用されているRADIUS設定の空欄を埋め、Submitをクリックします。
![検証](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-24.png)
5. RADIUS Server Sequencesタブに移動し、Addをクリックします。
![Radiusサーバシーケンス1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-25.png)
6. シーケンスの名前を指定して新しいRADIUS外部サーバを割り当て、Submitをクリックします。
![Radiusサーバシーケンス2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-26.png)
7. 「ダッシュボード」メニューから「ポリシー」にナビゲートし、「ポリシー・セット」をクリックします。
![ポリシーセット](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-27.png)
8. RADIUSシーケンスをデフォルトポリシーに割り当てます。
注:このドキュメントでは、すべての接続にDuoシーケンスが適用されるため、デフォルトポリシーが使用されます。ポリシーの割り当ては、要件によって異なります。
![デフォルトのポリシーセット](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-28.png)
Cisco ASA RADIUS/ISEの設定
1. AAAサーバグループでISE RADIUSサーバを設定するには、Configurationに移動し、Device Managementをクリックし、Users/AAAセクションを展開して、AAA Server Groupsを選択します。
![コンフィギュレーション](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-29.png)
2. AAA Server Groupsパネルで、Addをクリックします。
![AAA サーバ グループ](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-30.png)
3. サーバーグループの名前を選択し、使用するプロトコルとしてRADIUSを指定して、OKをクリックします。
![AAAサーバグループの設定](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-31.png)
5. 図に示すように、新しいサーバグループを選択し、Servers in the Selected GroupパネルでAddをクリックします。
![AAAサーバグループISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-32.png)
6. Edit AAA Serverウィンドウで、interface名を選択し、ISEサーバのIPアドレスを指定して、RADIUS秘密鍵を入力し、Okをクリックします。
注:この情報はすべて、Duo Authentication Proxy Managerで指定されたものと一致している必要があります。
![AAAサーバの編集](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-33.png)
CLI での設定
aaa-server ISE protocol radius
dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
key *****
Cisco ASAリモートアクセスVPNの設定
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0
group-policy DUO internal
group-policy DUO attributes
banner value This connection is for DUO authorized users only!
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-agarciam
address-pools value agarciam-pool
tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
address-pool agarciam-pool
authentication-server-group ISE
default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
group-alias ISE enable
dns-group DNS-CISCO
テスト
1. PCデバイスでAnyconnectアプリを開きます。VPN ASAヘッドエンドのホスト名を指定し、Duoセカンダリ認証用に作成したユーザでログインして、OKをクリックします。
![VPN](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-34.png)
2. 指定されたユーザーのDuo MobileデバイスでDuoプッシュ通知を受信しました。
3. Duoモバイルアプリ通知を開き、承認をクリックします。
![IDの確認](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-35.jpeg)
![アイデンティティ承認の確認](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-36.jpeg)
4. バナーを受け入れると、接続が確立されます。
![VPN接続](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-37.png)
![VPN接続の承認](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-38.png)
トラブルシュート
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
Duo認証プロキシには、エラーと失敗の原因を表示するデバッグツールが付属しています。
作業のデバッグ
注:次の情報は、C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.logに保存されます。
![出力 1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-39.png)
![出力 2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-40.png)
![出力 3](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-41.png)
![出力 4](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-42.png)
1. 接続の問題、誤ったIP、Active Directory設定でのFQDN/ホスト名の解決ができません。
![出力 5](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-43.png)
![出力 6](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-44.png)
2. Active Directoryの管理者ユーザのパスワードが正しくありません。
![出力 7](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-45.png)
デバッグ
![出力 8](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-46.png)
3. 誤った基本ドメイン
![出力 9](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-47.png)
デバッグ
![出力 10](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-48.png)
4. ikey RADIUS値が正しくありません
![出力 11](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-49.png)
デバッグ
![出力 12](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-50.png)
5. ISEサーバがアクセス要求パケットを送信することを確認します。
![Pcap](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-51.png)
6. Duo認証プロキシサーバが動作していることを確認するため、Duoはアクセス要求パケットとDuoとの応答をシミュレートするツールNTRadPingを提供しています。
6.1別のPCにNTRadPingをインストールし、トラフィックを生成する。
注:この例では、Windowsマシン10.28.17.3が使用されています。
6.2 ISE RADIUS設定で使用される属性を使用した設定
![属性ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-52.png)
6.3 Duo Authentication Proxy Managerを次のように設定します。
![Duo認証](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-53.png)
6.4. NTRadPingツールに移動し、Sendをクリックします。割り当てられたモバイルデバイスでDuoプッシュ通知を受信します。
![NTRadping](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-54.png)
![Pcap2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-55.png)