AnyConnect SSO configureren met Duo en LDAP-toewijzing op beveiligde firewall

Bijgewerkt:28 juli 2023
Document-id:220672

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een configuratievoorbeeld voor AnyConnect Single Sign-On (SSO) met Duo- en LDAP-toewijzing voor autorisatie op Secure Firewall.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco AnyConnect Secure Mobility Client
    • Cisco Secure Firepower Threat Defence (FTD)
    • Cisco Secure Firewall Management Center (FMC)
    • Basisbegrippen van Duo Security
    • Security Assertion Markup Language (SAML)
    • Configuratie van Active Directory (AD)-services op Microsoft Windows Server

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Secure FMC-versie 7.4.0
    • Cisco Secure FTD versie 7.4.0
    • Duo-verificatieproxy
    • AnyConnect Secure Mobility-clientversie 4.10.06079
    • Windows Server 2016, geconfigureerd als een AD-server

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    DUO SSO Traffic FlowDUO SSO-verkeersstroom

    Duo Traffic Flow

    1. AnyConnect-client start een VPN-verbinding (Virtual Private Network) met Secure FTD van Cisco Secure Sockets Layer (SSL).
    2. Secure FTD leidt de ingesloten browser in de AnyConnect-client om naar Duo SSO voor SAML-verificatie.
    3. AnyConnect-gebruiker meldt zich aan met primaire on-prem Active Directory-referenties.
    4. Duo SSO voert primaire authenticatie uit via een on-premisse Duo Verificatie Proxy op het platform Active Directory.
    5. Zodra de primaire verificatie succesvol is, begint Duo SSO met een tweeledige verificatie (2FA).
    6. AnyConnect-gebruiker voltooit Duo 2FA.
    7. Duo SSO stuurt de gebruiker terug naar de FTD met een antwoordbericht dat op succes wijst.

    SAML met externe LDAP

    Externe autorisatie van de SAML-gebruiker is afhankelijk van de NameID-waarde die door de IdP wordt geretourneerd. De Secure Firewall brengt het veld NameID in kaart met de gebruikersnaam en deze gebruikersnaam kan worden gebruikt om LDAP te bevragen.

    note-icon

    Opmerking: de in dit document gebruikte configuratie is om gebruikers die tot een AD-groep behoren in staat te stellen een VPN-verbinding (Remote Access (RA) tot stand te brengen. Verbinding is verboden voor gebruikers uit verschillende AD-groepen die niet op de kaart zijn gedefinieerd.

    Configuraties

    Configuratie Duo Admin-portal

    Configureer een AD of een SAML-identiteitsprovider die kan worden gebruikt als uw primaire verificatiebron voor Duo SSO.

    Ook hebt u een Duo-verificatieproxy (aanbevolen drie verificatieproxy-servers voor hoge beschikbaarheid) nodig die bereikbaar is voor uw AD- of SAML-identiteitsprovider op locatie.

    Raadpleeg voor meer informatie Duo Single Sign-On.

    Stap 1. Configureer het beveiligde Cisco FTD op de Duo Admin Portal.

    • Log in op het Duo Admin Portal en navigeer naar Applications > Protect an Application.
    • Zoek naar FTD met het type bescherming van 2FA with SSO hosted by Duo.
    • Klik op de knop Protectuiterst rechts om Cisco FTD VPN te configureren.

    Duo Protect ApplicationDuo Protect-toepassing

    Stap 2. Configureer de informatie over de serviceprovider in het Duo Admin Portal.

    Deze eigenschappen worden gebruikt:

    • Cisco Firepower Base-URL: fj-ftdv.example.com
    • Naam verbindingsprofiel: SSO-AD_Split-tunnel
    • Mail-kenmerk: 

    Duo Service ProviderDuo-serviceprovider

    note-icon

    Opmerking: het kenmerk Mail kan worden ingesteld op . Als dit zich voordoet, gebruikt u de configuratie voor ldap-naming-attribute wijzigingen van userPrincipalName in sAMAccountName op het beveiligde Cisco FTD.

    Stap 3. Klik op de Save om de configuratie op te slaan, klikt u op de knop aan het einde van de pagina.

    Stap 4. Naar navigeren Users > Add User zoals aangegeven op de afbeelding:

    Duo Add UserDuo Add User

    Stap 5. Vul de spatie in met alle benodigde informatie voor de nieuwe gebruiker.

    Duo User InformationDuo-gebruikersinformatie

    note-icon

    Opmerking: Gebruikersnaam gegevens en e-mail gegevens moeten overeenkomen met de informatie in de Active Directory-server.

    Stap 6. Voeg telefoon toe om het telefoonnummer van de gebruiker toe te voegen. Dit is nodig om de gebruiker te laten verifiëren via 2FA met Duo Push.

    Duo Add PhoneDuo Add Phone

    Stap 7. Activeer Duo Mobile voor de gebruiker in kwestie.

    Activate Duo Mobile PhoneDuo mobiele telefoon activeren

    note-icon

    Opmerking: zorg ervoor dat Duo Mobile op het apparaat van de eindgebruiker is geïnstalleerd:

    Stap 8. Genereert Duo Mobile Activeringscode.

    Duo Activation CodeDuo-activeringscode

    Stap 9. Stuur instructies via SMS.

    Duo SMSDuo SMS

    Stap 10. Klik op de link die via SMS wordt verstuurd en de Duo-app wordt gekoppeld aan de gebruikersaccount in het gedeelte Apparaatinfo.

    Duo Info SectionDuo Info

    Stap 11. Herhaal het proces voor alle gebruikers die moeten worden toegevoegd.

    Stap 12. Toepassingsmetagegevens ophalen:

    • Naar navigeren Applications  en klik op de Service Provider-toepassing die in Stap 1 is gemaakt.
    • Kopieert de Identity Provider Entity ID URL, SSO URL, en Logout URL van de metagegevens.

    Duo IdP InformationInformatie over Duo IDP

    Stap 13. Download het Identity Provider Certificate.

    Duo Download IdP CertificateDuo Download IDp-certificaat

    Configuratie op het FTD via het VCC

    Stap 1. Installeer en registreer het Identity Provider (IDP)-certificaat in het VCC.

    • Naar navigeren Devices > Certificates.

    FMC Certificate 1VCC-certificaat 1

    • Klik op de knop Add. Kies de FTD om in te schrijven op dit certificaat.
    • In het Add Cert Enrollment deel, gebruik om het even welke naam als etiket voor het IDp- certificaat.
    • Klik op de knop Manual.
    • Controleer de CA only en Skip Check for CA flag fields.
    • Plakt het base64-formaat IDP CA-certificaat.
    • Klik op Opslaan en vervolgens op Toevoegen.

    FMC Cert EnrollmentRegistratie bij VCC Cert

    Stap 2. SAML-serverinstellingen configureren:

    • Naar navigeren Objects > Object Management > AAA Servers > Single Sign-on Server.
    • Kiezen Add Single Sign-on Server.

    FMC SSOFMC SSO

    • Gebaseerd op de meta-gegevens die van Duo worden verzameld, vorm de waarden van SAML op de Nieuwe SSO Server:
    • Identity Provider Entity ID: entityID van de Duo-toepassing
    • SSO URL: SSO-service van Duo-toepassing
    • Uitloggen URL: SingleLogoutService van Duo-toepassing
    • Basis-URL: FQDN van uw FTD SSL ID-certificaat
    • Identity Provider Certificate: IDP-ondertekeningscertificaat
    • Certificaat voor serviceproviders: FTD Signing Certificate

    FMC SSO InformationVCC SSO-informatie

    note-icon

    Opmerking: Request Timeout is ingesteld op 300 als Duo-push wordt verzonden tijdens het verificatieproces en er een gebruikersinteractie nodig is. Wijzig de Request Timeout waarde volgens het netwerkontwerp.

    Stap 3. REALM/LDAP-serverconfiguratie configureren.

    • Naar navigeren Integration > Other Integrations.

    FMC RealmFMC Realm

    • Klik op Een nieuw domein toevoegen.

    FMC Add RealmFMC Add Realm

    • Geef de details van de Active Directory-server en -map op. Klik op OK.

    Voor deze demonstratie:

    • Naam: ActiveDirectory_SSO
    • Type: AD
    • Primair AD-domein: example.com
    • Gebruikersnaam: administrator@example.com
    • Directory-wachtwoord: 
    • Base-DN: DC=voorbeeld, DC=com
    • Groep DN: DC=voorbeeld, DC=com

    FMC Realm InformationInformatie over het VCC

    note-icon

    Opmerking: LDAPS (LDAP via SSL) kan worden gebruikt. De haven moet worden veranderd van 389 in 636.

    note-icon

    Opmerking: de advertentieserver moet beschikken over gebruikersgegevens die naar Duo zijn geüpload.

    Stap 4. Creëer indien nodig groepsbeleid.

    • Naar navigeren Objects > Object Management > VPN > Group Policy.
    • Klik op de knop Add Group Policy .
    • Groepsbeleid maken met de bijbehorende parameters.

    Ten behoeve van deze demonstratie zijn drie groepsbeleidslijnen ingesteld:

    1. SSO_LDAP_ADMINS Group Policy is de groep voor gebruikers die behoren tot de AnyConnect Admins groep.

    Group Policy 1Groepsbeleid 1

    2. SSO_LDAP_USERS Group Policy is de groep voor gebruikers die behoren tot de AnyConnect Users groep.

    Group Policy 2Groepsbeleid 2

    3. De NO_ACCESS Groepsbeleid is de groep voor gebruikers die niet tot een van de vorige Groepsbeleid behoren. Het heeft de  Simultaneous Login Per User De parameter moet op 0 worden ingesteld.

    Group Policy 3Groepsbeleid 3

    Stap 5. Toewijzing van LDAP-kenmerken configureren.

    • Naar navigeren Devices > VPN > Remote Access.
    • Kies de huidige configuratie van Remote Access VPN.
    • Naar navigeren Advanced > LDAP Attribute Mapping.
    • Klik op plus + ondertekenen en een nieuwe LDAP Attribute Mapping .

    • Geef de LDAP Attribute Name en de Cisco Attribute Name. Klik op de knop Add Value Map.

    Ten behoeve van deze demonstratie, LDAP attributenkaartconfiguratie:

    • Naam LDAP-kenmerk: memberOf
    • Naam Cisco-kenmerk: Group-Policy

    LDAP Attribute MapLDAP-kenmerkkaart

    • Geef de LDAP Attribute Value en de Cisco Attribute Value. Klik op de knop OK .

    Voor deze demonstratie:

    LDAP Attribute Value: CN=AnyConnect Admins, CN=Gebruikers, DC=voorbeeld, DC=com
    Waarde Cisco-kenmerken: SSO_LDAP_ADMINS

    LDAP Attribute Value: CN=AnyConnect Gebruikers, CN=Gebruikers, DC=voorbeeld, DC=com
    Waarde Cisco-kenmerken: SSO_LDAP_USERS

    Configure LDAP Attribute MapLDAP-kenmerkkaart configureren

    Stap 6. Configureer de Connection Profile.

    • Naar navigeren Devices > Remote Accessen bewerk vervolgens uw huidige configuratie voor VPN Remote Access.
    • Maak een nieuw verbindingsprofiel met de bijbehorende eigenschappen. Kies de NO_ACCESSGroepsbeleid als groepsbeleid voor dit verbindingsprofiel.

    FMC Connection Profile 1FMC-verbindingsprofiel 1

    • Kies de  AAA tabblad. In het Authentication Method optie, kiezen SAML, en voor Authorization Server Kies de AD-server die in Stap 3 is gemaakt.

    FMC Connection Profile AAAFMC-verbindingsprofiel AAA

    warning-icon

    Waarschuwing: VPN client embedded browser wordt gekozen als de SAML Login Experience. Als Default OS Browser wordt gekozen, bekijk dan de beperkingen die worden genoemd in Ondersteuning voor een AnyConnect VPN SAML Externe Browser.

    • Maak een groep alias om de verbindingen met dit verbindingsprofiel toe te wijzen. Dit is de tag die gebruikers kunnen zien in het vervolgkeuzemenu AnyConnect Software.

    FMC Group AliasVCC-groepsalias

    • Klik op OK en sla de volledige VPN-configuratie van het verbindingsprofiel op.

    Stap 7. Configureren FlexConfig Policy om het LDAP-naamgevingskenmerk te wijzigen.

    Aangezien het kenmerk Service Provider Mail is ingesteld op E-mailadres, gaat u verder met de ldap-naming-attribute voor de AD-server moet worden gewijzigd van sAMAccountName in userPrincipalName.

    note-icon

    Opmerking: Als IdP de NameID Waarde als sAMAccountNameDeze stap is echter niet nodig. 

    • Naar navigeren Devices > FlexConfig en kies of maak vervolgens de FlexConfig Policy om te wijzigen.
    • Klik op de knop  FlexConfig Object om een nieuw object toe te voegen.

    FMC FlexConfig ObjectFMC FlexConfig-object

    • Wijzig de ldap-naming-attributevan sAMAccountName in userPrincipalname.

    Add FlexConfig ObjectFlexConfig-object toevoegen

    • Klik op Save (Opslaan).

    Stap 8. Naar navigeren Deploy > Deployment en kies de juiste FTD om de configuratie toe te passen.

    Verifiëren

    Van LDAP debug-fragment debug ldap 255Er kan worden opgemerkt dat er een overeenkomst is op de LDAP Attribute Map voor beheerder Gebruiker:

    [26] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=admin_user@example.com]
        Scope   = [SUBTREE]

    
    
      [20] 
     memberOf: value = CN=AnyConnect Admins,CN=Users,DC=example,DC=com [20] 
     mapped to Group-Policy: value = SSO_LDAP_ADMINS [20] 
     mapped to LDAP-Class: value = SSO_LDAP_ADMINS

    Geef het show vpn-sessiondb anyconnect commando om te verzekeren dat de gebruiker in de gedefinieerde groep zit.

    firepower# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : admin_user@example.com
Index        : 6
Public IP    : XX.XX.XX.XX
Protocol     : AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none
Hashing      : AnyConnect-Parent: (1)none
Bytes Tx     : 0                      Bytes Rx     : 0

    Group Policy : SSO_LDAP_ADMINSTunnel Group : SSO_AD_Split-tunnel Login Time : 19:37:28 UTC Thu Jul 20 2023 Duration : 0h:01m:33s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0a1f7c490000600064b98cf8 Security Grp : none Tunnel Zone : 0. Van LDAP debug-fragment debug ldap 255, kan worden opgemerkt dat er een overeenkomst op de LDAP Attribute Map voor Test Gebruiker is:

    [29] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=test_user@example.com]
        Scope   = [SUBTREE]

    
    
      [29] 
     memberOf: value = CN=AnyConnect Users,CN=Users,DC=example,DC=com [29] 
     mapped to Group-Policy: value = SSO_LDAP_USERS [29] 
     mapped to LDAP-Class: value = SSO_LDAP_USERS 

    Geef het show vpn-sessiondb anyconnect commando om er zeker van te zijn dat de gebruiker in de juiste groep zit.

    firepower# show vpn-sessiondb anyconnect                                   

Session Type: AnyConnect

Username     : test_user@example.com
Index        : 6
Public IP    : XX.XX.XX.XX
Protocol     : AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none
Hashing      : AnyConnect-Parent: (1)none
Bytes Tx     : 0                      Bytes Rx     : 0
Group Policy : SSO_LDAP_USERS        Tunnel Group : SSO_AD_Split-tunnel
Login Time   : 19:37:28 UTC Thu Jul 20 2023
Duration     : 0h:08m:07s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a1f7c490000600064b98cf8
Security Grp : none                   Tunnel Zone  : 0  

    Van LDAP debug-fragment debug ldap 255, kan worden opgemerkt dat er geen overeenkomst is op de LDAP Attribute Map voor NOACCESS Gebruiker en met debug webvpn die NO_ACCESS Groepsbeleid is daarom gekozen, de gebruiker kan niet authenticeren.

    [32] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [userPrincipalName=noaccess_user@example.com]
        Scope   = [SUBTREE]

    
    
      User Policy Access-Lists: user_acl[0] = NULL user_acl[1] = NULL tunnel policy attributes: 1 Filter-Id(11) 8 "" 2 Session-Timeout(27) 4 0 3 Idle-Timeout(28) 4 30 4 Simultaneous-Logins(4098) 4 0 5 Primary-DNS(4101) 4 IP: 0.0.0.0 6 Secondary-DNS(4102) 4 IP: 0.0.0.0 7 Primary-WINS(4103) 4 IP: 0.0.0.0 8 Secondary-WINS(4104) 4 IP: 0.0.0.0 9 Tunnelling-Protocol(4107) 4 96 10 Banner(4111) 0 0x000014e304401888 ** Unresolved Attribute ** 11 Group-Policy(4121) 9 
      "NO_ACCESS" 

    Problemen oplossen

    Het meeste oplossen van problemen met SAML heeft betrekking op een foutieve configuratie die u kunt vinden door de SAML-configuratie te controleren of fouten te herstellen:

    • debug webvpn saml 255
    • debug webvpn 255
    • debug webvpn anyconnect 255
    • debug webvpn session 255
    • debug webvpn request 255

    Voor LDAP-mappingautorisatiekwesties zijn de bruikbare debugs:

    • debug aaa common 255
    • debug ldap 255 

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    28-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Fernando Gerardo Jimenez Avendano
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten