- 主身份验证启动到Cisco ISE。
- Cisco ASA向Duo身份验证代理发送身份验证请求。
- 主身份验证使用Active Directory或RADIUS。
- 已建立Duo Authentication Proxy连接,以通过TCP端口443实现Duo Security。
- 通过Duo Security的服务进行辅助身份验证。
- Duo认证代理接收认证响应。
- 已授予思科ISE访问权限。
用户帐户:
- Active Directory管理员:此帐户用作目录帐户,以允许双重身份验证代理绑定到Active Directory服务器进行主要身份验证。
- Active Directory测试用户
- Duo测试用户进行辅助身份验证
Active Directory配置
Windows服务器预配置了Active Directory域服务。
注意:如果RADIUS Duo Auth代理管理器在同一Active Directory主机上运行,则必须卸载/删除网络策略服务器(NPS)角色。如果两个RADIUS服务都运行,则可能会发生冲突并影响性能。
要在远程访问VPN用户上实现身份验证和用户身份的AD配置,需要几个值。
必须先在Microsoft服务器上创建或收集所有这些详细信息,然后才能在ASA和Duo Auth代理服务器上进行配置。
主要值包括:
- 域名.这是服务器的域名。在本配置指南中,agarciam.cisco是域名。
- 服务器IP/完全限定域名(FQDN)地址。用于连接Microsoft服务器的IP地址或FQDN。如果使用FQDN,则必须在ASA和双重身份验证代理中配置DNS服务器以解析FQDN。
在本配置指南中,此值为agarciam.cisco(解析为10.28.17.107)。
- 服务器端口.LDAP服务使用的端口。默认情况下,LDAP和STARTTLS对LDAP使用TCP端口389,LDAP over SSL (LDAPS)使用TCP端口636。
- 根 CA.如果使用LDAPS或STARTTLS,则需要用于签署LDAPS使用的SSL证书的根CA。
- 目录用户名和密码。这是Duo Auth代理服务器用于绑定到LDAP服务器并对用户进行身份验证以及搜索用户和组的帐户。
- 基本和组可分辨名称(DN)。基础DN是Duo Auth代理的出发点,它告知Active Directory开始搜索和验证用户。
在本配置指南中,根域agarciam.cisco用作基础DN,组DN为Duo-USERS。
1. 为了添加新的Duo用户,请在Windows Server上导航到左下方的Windows图标,然后单击Windows管理工具,如图所示。
![Windows管理](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-01.png)
2. 在“Windows管理工具”窗口中,导航到Active Directory用户和计算机。
在Active Directory用户和计算机面板上,展开域选项并导航到用户文件夹。
在此配置示例中,Duo-USERS用作辅助身份验证的目标组。
![Active Directory](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-02.png)
3. 右键单击用户文件夹,然后选择新建>用户,如图所示。
![用户创建](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-03.png)
4. 在“新建对象-用户”窗口中,指定此新用户的身份属性,然后单击下一步,如图所示。
![用户设置1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-04.png)
5. 确认口令并单击下一步,然后在验证用户信息之后单击完成。
![用户设置2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-05.png)
6. 将新用户分配给特定组,右键单击该用户并选择添加到组,如图所示。
![添加到组](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-06.png)
7. 在“选择组”面板上,键入所需组的名称,然后单击检查名称。
然后,选择符合条件的名称,然后单击Ok。
![检查名称](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-07.png)
8. 此用户是本文档中使用的示例。
Duo配置
1. 登录您的Duo管理员门户。
![Duo登录页](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-08.png)
2. 在左侧面板上,导航到用户,单击添加用户并键入与我们的Active Domain用户名匹配的用户名,然后单击添加用户。
![Duo用户1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-09.png)
3. 在“新用户”面板中,填写所有必要信息。
![Duo用户2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-10.png)
4. 在“用户设备”下,指定辅助身份验证方法。
注意:在本文档中,使用Duo推送移动设备方法,因此需要添加电话设备。
单击Add Phone。
![添加电话1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-11.png)
5. 键入用户电话号码并单击Add Phone。
![添加电话2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-12.png)
6. 在左侧“Duo管理员”面板上,导航到用户,然后单击新用户。
![Duo用户](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-13.png)
注意:如果您目前无权访问您的电话,可以选择电邮选项。
7. 导航到电话部分并单击激活Duo Mobile。
![电话](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-14.png)
8. 单击Generate Duo Mobile Activation Code。
![激活双核](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-15.png)
9. 选择电子邮件以便通过电子邮件接收说明,键入您的电子邮件地址,然后单击通过电子邮件发送说明。
![电子邮件说明](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-16.png)
10. 您会收到一封包含说明的电子邮件,如图所示。
![电子邮件双人](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-17.png)
11. 从移动设备打开Duo Mobile App,然后单击Add,然后选择Use QR code并从说明邮件扫描代码。
12. 新用户将添加到您的Duo移动应用。
Duo Auth代理配置
1. 从Cisco Duo Authentication下载并安装Duo Auth Proxy Manager
注意:在本文档中,Duo Auth代理管理器安装在承载Active Directory服务的同一Windows服务器上。
2. 在Duo管理面板上,导航至“应用程序”,然后单击保护应用程序。
![代理配置](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-18.png)
3. 在搜索栏中,查找Cisco ISE Radius。
![保护应用程序](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-19.png)
4. 复制集成密钥、密钥和API主机名。Duo认证代理配置需要此信息。
![思科ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-20.png)
5. 运行Duo Authentication Proxy Manager应用程序并完成Active Directory客户端和ISE Radius服务器的配置,然后单击Validate。
注意:如果验证不成功,请参阅调试选项卡了解详细信息并相应更正。
![验证](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-21.png)
Cisco ISE配置
1. 登录ISE管理员门户。
2. 展开Cisco ISE选项卡并导航到Administration,然后单击Network Resources,再单击External RADIUS Servers。
![思科ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-22.png)
3. 在外部Radius服务器选项卡上,单击添加。
![RADIUS 服务器](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-23.png)
4. 使用Duo Authentication Proxy Manager中使用的RADIUS配置填写空白并单击Submit。
![验证](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-24.png)
5. 导航到RADIUS Server Sequences选项卡,然后单击Add。
![Radius服务器序列1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-25.png)
6. 指定序列名称并分配新的RADIUS外部服务器,单击Submit。
![Radius服务器序列2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-26.png)
7. 从“控制面板”菜单定位至策略,然后单击策略集。
![策略集](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-27.png)
8. 将RADIUS序列分配给默认策略。
注意:在本文档中,将应用所有连接的Duo序列,因此使用默认策略。策略分配可能因要求而异。
![默认策略集](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-28.png)
Cisco ASA RADIUS/ISE配置
1. 要在AAA服务器组下配置ISE RADIUS服务器,请导航到配置,然后单击设备管理,展开用户/AAA部分,然后选择AAA服务器组。
![配置](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-29.png)
2. 在AAA Server Groups面板上,单击Add。
![AAA 服务器组](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-30.png)
3. 选择服务器组的名称并指定RADIUS作为要使用的协议,然后单击Ok。
![AAA服务器组配置](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-31.png)
5. 选择新的服务器组,然后单击Servers in the Selected Group面板下的Add,如图所示。
![AAA服务器组ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-32.png)
6. 在“编辑AAA服务器”窗口上,选择接口名称,指定ISE服务器的IP地址并键入RADIUS密钥,然后单击确定。
注意:所有这些信息都必须与Duo Authentication Proxy Manager上指定的信息匹配。
![编辑 AAA 服务器](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-33.png)
CLI 配置
aaa-server ISE protocol radius
dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
key *****
Cisco ASA远程访问VPN配置
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0
group-policy DUO internal
group-policy DUO attributes
banner value This connection is for DUO authorized users only!
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-agarciam
address-pools value agarciam-pool
tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
address-pool agarciam-pool
authentication-server-group ISE
default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
group-alias ISE enable
dns-group DNS-CISCO
测试
1. 在电脑设备上打开Anyconnect应用。指定VPN ASA头端的主机名,并使用为Duo辅助身份验证创建的用户登录,然后单击OK。
![VPN](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-34.png)
2. 您在指定的用户Duo Mobile设备上收到Duo推送通知。
3. 打开Duo Mobile App通知,然后单击批准。
![验证身份](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-35.jpeg)
![验证身份已批准](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-36.jpeg)
4. 接受标语,即可建立连接。
![VPN 连接](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-37.png)
![VPN连接接受](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-38.png)
故障排除
本部分提供的信息可用于对配置进行故障排除。
Duo认证代理随附调试工具,该工具可显示错误和故障原因。
工作调试
注意:下一个信息存储在C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.log中。
![产出1](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-39.png)
![产出2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-40.png)
![产出3](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-41.png)
![产出4](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-42.png)
1. Active Directory配置中的连接问题、错误的IP、无法解析的FQDN/主机名。
![产出5](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-43.png)
![产出6](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-44.png)
2. Active Directory上管理员用户的密码错误。
![产出7](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-45.png)
调试
![产出8](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-46.png)
3. 错误的基域
![产出9](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-47.png)
调试
![产出10](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-48.png)
4. 错误的Key RADIUS值
![产出11](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-49.png)
调试
![产出12](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-50.png)
5. 验证ISE服务器发送访问请求数据包。
![Pcap](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-51.png)
6. 为了确认Duo认证代理服务器可以正常工作,Duo提供了工具NTRadPing来模拟Duo的访问请求数据包和响应。
6.1在另一PC上安装NTRadPing并生成流量。
注意:本示例中使用10.28.17.3 Windows计算机。
6.2配置用于ISE Radius配置的属性。
![属性ISE](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-52.png)
6.3按如下所示配置Duo Authentication Proxy Manager。
![Duo身份验证](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-53.png)
6.4.导航到NTRadPing工具,然后单击Send。您会在分配的移动设备上收到双核推送通知。
![NTRadPing](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-54.png)
![Pcap2](/c/dam/en/us/support/docs/security/duo/217739-configure-duo-integration-with-active-di-55.png)