简介

本文档介绍使用Cisco ISE和AAA双安全在Firepower威胁防御中集成SSLVPN。

要求

• ISE 3.0或更高版本。
• FMC 7.0或更高版本。
• FTD 7.0或更高版本。
• DUO认证代理。
• ISE基础版许可
• DUO Essentials许可。

使用的组件

• ISE 3.2补丁3
• FMC 7.2.5
• FTD 7.2.5
• Proxy DUO 6.3.0
• Any Connect 4.10.08029

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

网络图

拓扑。

在我们推荐的解决方案中，思科ISE是一个关键的RADIUS服务器代理。ISE配置为将RADIUS数据包从FTD转发到DUO身份验证代理，而不是直接评估身份验证或授权策略。 

DUO认证代理在此认证流程中充当专用中介。 它安装在Windows服务器上，弥补了Cisco ISE和DUO云之间的差距。代理的主要功能是将身份验证请求（封装在RADIUS数据包内）传输到DUO云。DUO Cloud最终根据双因素身份验证配置允许或拒绝网络访问。

1. 用户通过输入其唯一用户名和密码启动VPN身份验证过程。

2. 防火墙威胁防御(FTD)将身份验证请求发送到思科身份服务引擎(ISE)。

3. 策略服务节点(PSN)将身份验证请求转发到DUO身份验证代理服务器。随后，DUO身份验证服务器通过DUO云服务验证凭证。

4. DUO Cloud根据同步数据库验证用户名和密码。

5. 身份验证成功后，DUO云通过安全的加密推送通知向注册移动设备的用户启动DUO推送。然后，用户必须批准DUO Push以确认其身份并继续。

6. 一旦用户批准DUO Push，DUO认证代理服务器就会向PSN发送确认消息，以表明用户已接受认证请求。

7. PSN节点将确认发送到FTD，以通知用户已通过身份验证。

8. FTD收到身份验证确认，并在采取适当安全措施的情况下与终端建立VPN连接。

9. FTD记录成功的VPN连接的详细信息，并将记账数据安全地传输回ISE节点，以便进行记录和审计。

10. ISE节点在其实时日志中记录会计信息，确保安全地存储所有记录，并可供未来审计或合规性检查使用。

配置

FTD配置。

在Firepower管理中心(FMC)中集成RADIUS服务器

1. 通过启动Web浏览器并输入FMC的IP地址以打开图形用户界面(GUI)来访问FMC。

2. 导航到对象菜单，选择AAA服务器，然后继续执行RADIUS服务器组选项。

3. 单击Add RADIUS Server Group按钮以便为RADIUS服务器创建新组。

RADIUS服务器组。

4. 输入新AAA RADIUS服务器组的描述性名称，以确保在您的网络基础设施内进行明确的标识。

5. 选择组配置中的相应选项，继续添加新的RADIUS服务器。RADIUS服务器。

6. 指定RADIUS服务器IP地址并输入共享密钥。

新建RADIUS服务器。

7. 配置RADIUS服务器详细信息之后，单击Save以保留RADIUS服务器组的设置。

服务器组详细信息。

8. 要最终确定并实施网络中的AAA服务器配置，请导航到部署菜单，然后选择全部部署以应用设置。

部署AAA服务器。

配置远程VPN。

1. 在FMC GUI中导航到Devices > VPN > Remote Access以开始VPN配置过程。

2. 单击Add按钮创建新的VPN连接配置文件。

VPN连接配置文件。

3. 输入VPN的唯一描述性名称，以帮助在网络设置中识别它。

4. 选择SSL选项以确保使用SSL VPN协议的安全连接。

5. 从设备列表中选择特定FTD设备。

VPN设置。

6. 将AAA方法配置为在身份验证设置中使用PSN节点。

连接配置文件。

7. 设置VPN的动态IP地址分配。

IP Address Pool.

8. 继续创建新的组策略。

组策略.

9. 在组策略设置中，确保选中SSL协议。

VPN协议。

10. 创建一个新的VPN池或选择一个现有VPN池，以定义可用于VPN客户端的IP地址范围。

池VPN。

11. 指定VPN连接的DNS服务器详细信息。

DNS设置。

12. 配置完必要的详细信息后，单击下一步继续下一步的设置。

组策略.

13. 为VPN用户选择适当的AnyConnect软件包。如果未列出所需的包，您可以选择在此阶段添加所需的包。

软件包安装。

14. 选择要启用VPN Remote功能的FTD设备上的网络接口。

VPN接口

15. 选择一种可用方法创建证书并将其安装在防火墙上，从而建立证书注册流程，这对安全VPN连接至关重要。

设备证书。

证书注册。

16. 配置证书注册后，单击Next。

访问和服务摘要

17. 审核所有配置的摘要，确保它们准确无误并反映您预期的设置。

VPN设置摘要。

18. 要应用和激活VPN远程访问配置，请导航到部署>全部部署，然后对选定的FTD设备执行部署。

部署VPN设置。

ISE配置

集成DUO作为外部Radius服务器。

1. 在Cisco ISE管理界面导航到管理>网络资源>外部RADIUS服务器。

2. 单击Add按钮以配置新的外部RADIUS服务器。

外部Radius服务器

3. 输入Proxy DUO Server的名称。

4. 输入代理DUO服务器的正确IP地址，以确保ISE和DUO服务器之间的通信正确。

5. 设置共享密钥。

6. 正确输入所有详细信息后，单击Submit保存新的Proxy DUO Server配置。

外部RADIUS服务器

7. 继续执行管理> RADIUS服务器序列。

8. 单击Add创建新的RADIUS服务器序列。

RADIUS服务器序列

9. 为RADIUS服务器序列提供一个不同的名称以便于识别。

10. 找到以前配置的DUO RADIUS服务器(在本指南中称为DUO_Server)，然后将其移动到右侧的选定列表中并在序列中包含它。

11. 单击Submit以完成并保存RADIUS Server Sequence配置。

Radius服务器序列配置。

将FTD集成为网络接入设备。

1. 导航到系统界面中的管理部分，然后从该部分选择网络资源以访问网络设备的配置区域。

2. 在网络资源部分中，找到并单击添加按钮以开始添加新网络接入设备的过程。

网络访问设备。

3. 在提供的字段中，输入网络接入设备名称以标识网络中的设备。

4. 继续指定FTD（Firepower威胁防御）设备的IP地址。

5. 输入之前在FMC（Firepower管理中心）设置期间建立的密钥。此密钥对于设备之间的安全通信至关重要。

6. 单击Submit按钮完成此流程。

添加FTD作为需要。

RADIUS设置

DUO配置。

DUO代理安装。

通过单击下一个链接访问DUO代理下载和安装指南： 

https://duo.com/docs/authproxy-reference

将DUO Proxy与ISE和DUO Cloud集成。

1. 使用您的凭证登录到DUO Security网站https://duo.com/。

2. 定位至核销部分，然后选择保护核销以继续。

DUO应用程序

3. 在列表中搜索“Cisco ISE RADIUS”选项，并单击Protect将其添加到您的应用。

ISE RADIUS选项

4. 成功添加后，您将看到DUO应用程序的详细信息。向下滚动并单击Save。

5. 复制提供的集成密钥、密钥和API主机名；这些对于后续步骤至关重要。

ISE服务器详细信息

6. 在系统上启动DUO代理管理器以继续设置。

DUO代理管理器

7.（可选）如果您的DUO代理服务器需要代理配置才能连接到DUO云，请输入以下参数：

[main]
http_proxy_host=<Proxy IP Address or FQDN >
http_proxy_port=<port>

8. 现在，使用您之前复制的信息完成集成配置。 

[radius_server_auto]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
radius_ip_1=<ISE IP address>
radius_secret_1=<secret key configured in the external RADIUS server section>
failmode=safe
port=1812
client=ad_client

将DUO与Active Directory集成。

1. 将DUO身份验证代理与Active Directory集成。

[ad_client]
host=<AD IP Address>
service_account_username=<service_account_username>
service_account_password=<service_account_password>
search_dn=DC=<domain>,DC=<TLD>

2. 使用DUO云服务加入Active Directory。登录https://duo.com/。

3. 导航到“用户”并选择“目录同步”以管理同步设置。

目录同步

4. 单击Add New Sync，然后从所提供的选项中选择“Active Directory”。 

添加新同步

5. 选择添加新连接并单击继续。

添加新的Active Directory

6. 复制生成的集成密钥、密钥和API主机名。 

身份验证代理详细信息

7. 返回DUO身份验证代理配置并使用您获得的新参数以及Active Directory管理员的服务帐户凭证配置[云]部分：

[cloud]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
service_account_username=<your domain>\<service_account_username>
service_account_password=<service_account_password>

8. 选择“验证”选项验证您的配置，以确保所有设置都正确。

Proxy DUO的配置。

9. 验证后，保存配置并重新启动DUO认证代理服务以应用更改。

重新启动服务选项。

10. 返回DUO管理控制面板，输入Active Directory服务器的IP地址以及用户同步的基本DN。

目录设置。

11. 选择Plain选项以配置用于非NTLMv2身份验证的系统。

认证类型.

12. 保存新设置以确保更新配置。

保存选项

13. 使用“测试连接”功能验证DUO云服务可以与您的Active Directory通信。

测试连接选项。

14. 确认Active Directory的状态显示为“已连接”，表示已成功集成。

状态成功。

通过DUO云从Active Directory (AD)导出用户帐户。

1. 在Duo管理面板中导航到用户>目录同步，以查找与使用Active Directory进行目录同步相关的设置。

用户列表.

2. 选择要管理的Active Directory配置。

3. 在配置设置中，确定并选择Active Directory中要与Duo Cloud同步的特定组。考虑使用过滤选项进行选择。

4. 单击完成设置。

AD同步。

5. 要立即启动同步，请单击立即同步。这会将用户帐户从Active Directory中的指定组导出到Duo Cloud，从而允许在Duo Security环境中对其进行管理。

正在启动同步

在Cisco DUO云中注册用户。

用户注册通过各种方法启用身份验证，例如代码访问、DUO推送、SMS代码和令牌。 

1. 导航至思科云控制面板中的用户部分。

2. 查找并选择您要注册的用户帐户。

用户帐户列表。

3. 单击Send Enrollment Email按钮以启动登记流程。 

通过电子邮件进行注册。

4. 检查电子邮件收件箱并打开登记邀请以完成验证过程。

有关注册流程的其他详细信息，请参阅以下资源：

• 通用注册指南：https://guide.duo.com/universal-enrollment
• 传统注册指南：https://guide.duo.com/traditional-enrollment

配置验证过程。

为确保您的配置准确且可操作，请验证以下步骤：

1. 启动Web浏览器并输入Firepower威胁防御(FTD)设备的IP地址以访问VPN接口。

VPN登录。

2. 根据提示输入您的用户名和密码。 

3. 当您收到DUO Push通知时，请使用DUO Mobile软件批准该通知，以继续验证过程。

DUO推动。

4.查找并下载适用于Windows系统的Cisco AnyConnect VPN客户端软件包。

下载并安装。

5. 运行下载的AnyConnect安装程序文件，然后继续完成Windows设备上安装程序提供的说明。

6. 打开Cisco AnyConnect安全移动客户端软件。通过输入FTD设备的IP地址连接到VPN。

Any Connect软件。

7. 出现提示时，输入您的VPN访问凭证，并再次授权DUO推送通知对您的连接进行身份验证。

DUO推动。

VPN连接成功。

8. 转至Operations > RADIUS > Livelogs以监控实时活动并验证适当的连接，访问思科身份服务引擎(ISE)中的实时日志。 

ISE实时日志。

9. 转至Reports > Authentication日志，在DUO管理面板中查看身份验证日志以确认成功验证。

身份验证日志。

常见问题.

工作场景。

在您探索与此集成相关的特定错误之前，了解整体工作场景至关重要。

在ISE实时日志中，我们可以确认ISE已将RADIUS数据包转发到DUO代理，并且用户接受DUO推送后，即会从DUO代理服务器收到RADIUS访问接受。

身份验证成功。

结果成功。

ISE端的数据包捕获显示以下信息：

ISE数据包捕获。

错误11368请查看外部RADIUS服务器上的日志以确定确切的故障原因。

Error 11368.

故障排除：

- 验证ISE中的RADIUS共享密钥是否与FMC中配置的密钥相同。

1. 打开ISE GUI。

2.管理>网络资源>网络设备。

3. 选择DUO代理服务器。

4. 在共享密钥旁边，单击Show查看以纯文本格式记录的密钥。 

5. 打开FMC GUI。

6. Objects > Object Management > AAA Server > RADIUS Server Group。

7. 选择ISE服务器。

8. 重新输入密钥。

- 验证DUO中的Active Directory集成。

1. 打开DUO认证代理管理器。

2. 确认[ad_client]部分下的用户和密码。

3. 单击“验证”确认当前凭证正确。

错误11353 No more external RADIUS servers； cant perform failover

Error 11353.

故障排除：

- 验证ISE中的RADIUS共享密钥是否与DUO代理服务器中配置的密钥相同。

1. 打开ISE GUI。

2.管理>网络资源>网络设备。

3. 选择DUO代理服务器。

4. 在共享密钥旁边，单击Show查看以纯文本格式记录的密钥。 

5. 打开DUO认证代理管理器。

6. 验证[radius_server_auto]部分并比较共享密钥。

RADIUS会话不会显示在ISE实时日志中。

故障排除：

- 检验DUO配置。

1. 打开DUO认证代理管理器。

2. 在[radius_server_auto]部分验证ISE IP地址

- 检验FMC配置。

1. 打开FMC GUI。       

2. 转至Objects > Object Management > AAA Server > RADIUS Server Group。

3. 选择ISE服务器。

4. 验证ISE IP地址。   

• 在ISE中捕获数据包以确认收到RADIUS数据包。

1. 转至Operations > Troubleshoot > Diagnostic Tools > TCP Dump

其他故障排除.

- 启用PSN中的以下组件作为debug：

   策略引擎

   Prrt-JNI

   运行时AAA

要进一步排除DUO认证代理管理器故障，请检查下一个链接：

https://help.duo.com/s/article/1126?language=en_US

DUO模板

您可以使用下一个模板将配置完成DUO代理服务器。

[main]    <--- OPTIONAL
http_proxy_host=<Proxy IP address or FQDN>
http_proxy_port=<Proxy port>
[radius_server_auto]
ikey=xxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxxx
radius_ip_1=<PSN IP Address>
radius_secret_1=xxxxxxxxx
failmode=safe
port=1812
client=ad_client

[ad_client]
host=<AD IP Address>
service_account_username=xxxxxxxx
service_account_password=xxxxxxxxxx
search_dn=DC=xxxxxx,DC=xxxx

[cloud]
ikey=xxxxxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxx
service_account_username=<your domain\username>
service_account_password=xxxxxxxxxxxxx