& Certificaatverificatie instellen als duoO SAML-verificatie
Inhoud
Inleiding
In dit document wordt een voorbeeld beschreven van de implementatie van op certificaten gebaseerde verificatie en dubbele SAML-verificatie.
Voorwaarden
De gereedschappen en apparaten die worden gebruikt in deze handleiding zijn:
- Cisco Firepower Threat Defence (FTD)
- Firepower Management Center (FMC)
- Interne certificeringsinstantie (CA)
- Cisco DUO Premier-account
- Cisco DUO-verificatieproxy
- Cisco Secure-client (CSC)
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basis VPN,
- SSL/TLS
- Public Key infrastructuur
- Ervaring met het VCC
- Cisco Secure-client
- FTD-code 7.2.0 of hoger
- Cisco DUO-verificatieproxy
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FTD (7.3.1)
- Cisco VCC (7.3.1)
- Cisco Secure-client (5.0.02075)
- Cisco DUO-verificatieproxy (6.0.1)
- Mac OS (13.4.1)
- Active Directory
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Stappen op DUO configureren
In deze sectie worden de stappen beschreven om Cisco DUO Single Sign-on (SSO) te configureren. Zorg ervoor dat de verificatieproxy is geïmplementeerd voordat u begint.
Waarschuwing: als een verificatieproxy niet is geïmplementeerd, bevat deze link een handleiding voor deze taak. DUO-verificatieproxyhandleiding
Een toepassingsbeschermingsbeleid maken
Stap 1. Meld u aan bij het beheerpaneel via deze link en Cisco Duo
Cisco DUO-startpagina
Stap 2. Navigeer naar Dashboard > Toepassingen > Bescherm een toepassing.
Voer in de zoekbalk "Cisco Firepower Threat Defense VPN" in en selecteer "Protect".
Bescherm een screenshot van de toepassing
Selecteer de optie met alleen Beschermingstype "2FA met SSO gehost door Duo".
Stap 3: Kopieer deze URL informatie onder Metadata.
- Identity Provider Entity ID
- DSB-URL
- Uitloggen-URL
Voorbeeld van te kopiëren informatie
Opmerking: De links zijn weggelaten uit de screenshot.
Stap 4. Selecteer "Downloadcertificaat" om het Identity Provider Certificate onder Downloads te downloaden.
Stap 5. De informatie over de serviceprovider invullen
Cisco Firepower Base-URL - De FQDN die wordt gebruikt om de FTD te bereiken
Naam verbindingsprofiel- De naam van de tunnelgroep
Toepassingsbeleid maken
Stap 1: Als u een Toepassingsbeleid wilt maken onder Beleidsselectie Selecteer "Een beleid toepassen op alle gebruikers" en selecteer "Of, een nieuw beleid maken" zoals in de afbeelding.
Voorbeeld van het maken van een toepassingsbeleid
Voorbeeld van het maken van een toepassingsbeleid
Stap 2. Voer onder Beleidsnaam de gewenste naam in, selecteer "Verificatiebeleid" onder Gebruikers en selecteer "2FA afdwingen." Sla dit vervolgens op met "Creëer beleid".
Voorbeeld van het maken van een toepassingsbeleid
Stap 3. Pas het beleid toe met "Apply Policy" in het volgende venster. Scroll vervolgens naar de onderkant van de pagina en selecteer "Save" om de DUO-configuraties te voltooien
Configuratiestappen voor FMC
Identificatiecertificaat implementeren in het FTD
In deze paragraaf wordt beschreven hoe het identiteitscertificaat kan worden geconfigureerd en geïmplementeerd in de FTD die nodig is voor certificaatverificatie. Alvorens u begint, ben zeker om alle configuraties op te stellen.
Stap 1. Navigeer naar Apparaten > Certificaat en kies Toevoegen, zoals in de afbeelding.
Screenshot van apparaten/certificaten
Stap 2: Kies het FTD-apparaat uit de vervolgkeuzelijst met apparaten. Klik op het pictogram + om een nieuwe methode voor certificaatinschrijving toe te voegen.
Schermafbeelding van Nieuw certificaat toevoegen
Stap 3: Kies de optie die de voorkeursmethode is om certificaten te verkrijgen in de omgeving via het "Inschrijftype", zoals getoond in de afbeelding.
Screenshot van de nieuwe pagina voor certificaatinschrijving
Tip: De beschikbare opties zijn: Self Signed Certificate - Generate a new certificate lokaal, SCEP - Use Simple Certificate Enrollment Protocol om een certificaat te verkrijgen van een CA, Manual- handmatig installeren van het Root and Identity certificaat, PKCS12 - Upload versleutelde certificaatbundel met root, identiteit en privésleutel.
IDP-certificaat implementeren in de FTD
In deze paragraaf wordt beschreven hoe het IDP-certificaat voor de FTD wordt geconfigureerd en geïmplementeerd. Alvorens u begint, ben zeker om alle configuraties op te stellen.
Stap 1: Navigeer naar Apparaten > Certificaat en kies Toevoegen."
Stap 2: Kies het FTD-apparaat uit de vervolgkeuzelijst met apparaten. Klik op het pictogram + om een nieuwe methode voor certificaatinschrijving toe te voegen.
Stap 3: Voer in het venster Enrollment toevoegen de gewenste informatie in zoals in de afbeelding, en vervolgens "Opslaan" zoals in de afbeelding.
- Naam: Naam van het object
- Type inschrijving: Handmatig
- Selectievakje ingeschakeld: alleen CA
- CA-certificaat: Pem-formaat van het certificaat
Voorbeeld van het maken van een certificaatinschrijvingsobject
Waarschuwing: "Schakel de markering van CA over in de basisbeperkingen van het CA-certificaat" kan indien nodig worden gebruikt. Gebruik deze optie voorzichtig.
Stap 4: Selecteer het nieuwe certificaatinschrijvingsobject onder "Enrollment*:" en selecteer vervolgens "Add" zoals in de afbeelding.
Schermafbeelding van toegevoegd voorwerp en apparaat voor certificaatinschrijving
Opmerking: zodra het certificaat is toegevoegd, wordt het onmiddellijk geïmplementeerd.
Het SAML SSO-object maken
In dit deel worden de stappen beschreven om SAML SSO via FMC te configureren. Alvorens u begint, ben zeker om alle configuraties op te stellen.
Stap 1. Navigeer naar Objecten > AAA Server > Single Sign-on Server en selecteer "Add Single Sign-on Server".
voorbeeld van een nieuw SSO-object maken
Stap 2. Voer de vereiste informatie in uit "Een toepassingsbeschermingsbeleid maken"
". Als u wilt doorgaan nadat het proces is voltooid, selecteert u "Opslaan".
- Naam*: Naam van het object
- Identity Provider Entity ID*: Entiteit-ID uit stap 3
- SSO URL*: Aanmelden URL gekopieerd uit stap 3
- Uitloggen URL: Uitloggen URL gekopieerd uit stap 3
- Base-URL: gebruik dezelfde FQDN als "Cisco Firepower Base-URL" in stap 5
- Identity Provider Certificate*: uitgerold IDP-certificaat
- Certificaat voor serviceproviders: Certificaat op de buiteninterface van het FTD
Voorbeeld van nieuw SSO-object.
Opmerking: de links Entity ID, SSO URL en Logout URL zijn weggelaten uit de screenshot
Configuratie van Remote Access Virtual Private Network (RAVPN) maken
In deze sectie worden de stappen beschreven om RAVPN met de wizard te configureren.
Stap 1. Navigeer naar Apparaten > Externe toegang Selecteer "Add."
Stap 2. In de wizard voert u de naam van de nieuwe RAVPN Policy Wizard in, selecteert u SSL onder VPN Protocollen: Voeg de doelapparaten toe, zoals in de afbeelding. Selecteer "Volgende" zodra dit is voltooid.
Stap 1 van de RAVPN-wizard
Stap 2. Stel voor het Connect Profile (Verbindingsprofiel) de volgende opties in (zie hier): Selecteer "Next" zodra dit is voltooid.
- Naam verbindingsprofiel: Gebruik de naam van de tunnelgroep in stap 5 van "Een toepassingsbeschermingsbeleid maken".
Verificatie, autorisatie en accounting (AAA):
- Clientcertificaat en SAML
- Verificatieserver:* Selecteer het SSO-object dat is gemaakt tijdens "Het SAML SSO-object maken".
Toewijzing van clientadres:
- AAA-server gebruiken (alleen Real of RADIUS) - Radius of LDAP
- DHCP-servers gebruiken - DHCP-server
- IP-adresgroepen gebruiken - lokale groep op het FTD
Stap 2 van de RAVPN-wizard
Stap 3. Selecteer de "+" om een webpagina te uploaden met de beveiligde client voor Cisco die moet worden geïmplementeerd. Selecteer vervolgens het aanvinkvakje van het CSC-beeld dat moet worden geïmplementeerd. Zoals in de afbeelding. Selecteer "Volgende" zodra dit is voltooid.
Stap 3 VPN-wizard
Stap 4. Stel deze objecten in (zoals weergegeven in de afbeelding): Selecteer "Volgende" nadat u deze hebt voltooid.
Interfacegroep/Security Zone:*: buiteninterface
"Certificaatinschrijving:*": Ideniteitscertificaat dat is aangemaakt tijdens het gedeelte "Identity Certificate implementeren in het FTD" van deze handleiding
Stap 4 van de RAVPN-wizard
Stap 6. Samenvatting
Controleer alle informatie. Als alles correct is, ga dan verder met 'Voltooien'.
Overzichtspagina
Stap 7. Implementeer de nieuwe configuraties.
Verifiëren
In dit gedeelte wordt beschreven hoe u een succesvolle poging tot verbinding kunt controleren.
Open Cisco Secure-client, voer het FQDN van de FTD in en maak verbinding.
Voer de referenties in op de SSO-pagina.
SSO-pagina via Cisco Secure-client
Accepteer de DUO-toets naar het geregistreerde apparaat.
DUO-druk
Succesvolle verbinding.
Verbonden met FTD
Controleer de verbinding op de FTD met de opdracht: toon vpn-sessiondb details anyconnect
Sommige informatie is weggelaten uit het uitvoervoorbeeld
Problemen oplossen
Dit zijn mogelijke problemen die zich na de tenuitvoerlegging voordoen.
Probleem 1: Certificaatauthenticatie mislukt.
Ervoor zorgen dat het basiscertificaat op de FTD is geïnstalleerd;
gebruik deze debugs:
debug crypto ca 14
debug aaa shim 128
debug aaa common 128
probleem 2: SAML-fouten
Deze debugs kunnen worden ingeschakeld om problemen op te lossen:
debug aaa shim 128
debug aaa common 128
debug webvpn anyconnect 128
webvpn saml 255 debuggen
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
21-Jul-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)