• No results found

Dubbele integratie met actieve map en ISE configureren voor twee-factoren verificatie op AnyConnect/Remote Access VPN-clients

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Dubbele integratie met actieve map en ISE configureren voor twee-factoren verificatie op AnyConnect/Remote Access VPN-clients"

Copied!
22
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 22 pagina )

Hele tekst

(1)

Dubbele integratie met actieve map en ISE configureren voor twee-factoren verificatie op AnyConnect/Remote Access VPN-clients

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Netwerkdiagram en -scenario Communicatieproces

Configuraties van actieve mappen Duo-configuraties

Configuratie van twee automatische proxy Cisco ISE-configuraties

Cisco ASA RADIUS/ISE-configuratie

Cisco ASA VPN-configuratie voor externe toegang Test

Problemen oplossen Werkplekken

Inleiding

Dit document beschrijft hoe u de integratie met Active Directory (AD) en Cisco Identity Services Engine (ISE) kunt configureren als twee-factoren verificatie voor AnyConnect-clients die

verbinding maken met Cisco adaptieve security applicatie (ASA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Basiskennis van RA VPN-configuratie op ASA

Basiskennis van de RADIUS-configuratie op ASA

Basiskennis van ISE

Basiskennis van actieve map

Basiskennis van Duo-toepassingen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

(2)

Microsoft 2016-server

ASA 9.14(3)18 

ISE Server 3.0

Duo-server

Duo-verificatieproxy-Manager

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Netwerkdiagram en -scenario

Communicatieproces

https://duo.com/docs/ciscoise-radius

Primaire verificatie gestart op Cisco ISE 1.

Cisco ISE stuurt een verificatieaanvraag naar de Duo-verificatieproxy 2.

Primaire verificatie gebruikt Active Directory of RADIUS 3.

Duo-verificatieproxy-verbinding ingesteld op Duo Security over TCP-poort 443 4.

Secundaire verificatie via de dienst van Duo Security 5.

Duo-authenticatie proxy ontvangt 6.

Cisco ISE-toegang verleend 7.

Gebruikersrekeningen:

Active Directory Admin: Dit wordt gebruikt als directory account om de Duo Auth Proxy te laten binden aan de Active Directory server voor primaire verificatie.

Actieve gebruiker van de Map

Duo-testgebruiker voor secundaire verificatie

(3)

Configuraties van actieve mappen

Windows server is vooraf ingesteld met Active Directory Domain Services.

Opmerking: Als RADIUS Duo Auth Proxy Manager op dezelfde host-machine van de map draait, moeten NPS-rollen (Network Policy Server) niet geïnstalleerd/verwijderd zijn, als beide RADIUS-services worden uitgevoerd, kunnen dit conflict opleveren en invloed uitoefenen op de prestaties. 

Om een AD-configuratie voor verificatie en gebruikersidentiteit bij VPN-gebruikers van externe toegang te bereiken, worden een aantal waarden vereist. Al deze gegevens moeten op de Microsoft Server gemaakt of verzameld worden voordat de configuratie op de ASA en Duo Auth proxy server kan worden uitgevoerd. De belangrijkste waarden zijn:

Domain Name. Dit is de domeinnaam van de server. In deze configuratiehandleiding is agarciam.cisco de domeinnaam.

IP/FQD-adres van de server. Het IP-adres of FQDN wordt gebruikt om de Microsoft server te bereiken. Als een FQDN wordt gebruikt, moet een DNS-server binnen ASA en Duo Auth proxy worden geconfigureerd om de FQDN-oplossing te vinden. In deze

configuratiehandleiding is deze waarde agarciam.cisco (die naar 10.28.17.107 lost).

serverpoort. De haven die wordt gebruikt door de LDAP-dienst. LDAP en STARTTLS maken standaard gebruik van TCP poort 389 voor LDAP, en LDAP over SSL (LDAPS) gebruikt TCP poort 636.

Root CA. Als LDAPS of STARTTLS wordt gebruikt, moet de basis CA die wordt gebruikt om het SSL-certificaat te ondertekenen dat door LDAPS wordt gebruikt, worden gebruikt.

Gebruikersnaam en wachtwoord map Dit is de account die wordt gebruikt door de proxy- server van Duo om zich te binden aan de LDAP-server en gebruikers en groepen te authentiseren.

Base and Group Distributed Name (DN). Base DN is het uitgangspunt voor Duo Auth volmacht en het vertelt de Actieve folder om het zoeken naar en het authenticeren van

gebruikers te beginnen. In deze configuratiehandleiding wordt het root domein agarciam.cisco gebruikt als basis DN en Group DN als Duo-USERS.

1. Als u een nieuwe Duo-gebruiker op Windows Server wilt toevoegen, navigeer dan naar het pictogram Windows onder in en klik op Windows-beheertools, zoals in de afbeelding

weergegeven.

(4)

2. In het venster Windows Administratieve hulpmiddelen navigeer naar Actieve Gebruikers en computers van de Map. In het paneel Actieve Gebruikers en Computers van de Map vouwt u de domeinoptie uit en navigeer naar de map Gebruikers. In dit configuratievoorbeeld wordt Duo- USERS gebruikt als de doelgroep voor secundaire authenticatie.

(5)

3. Klik met de rechtermuisknop op de gebruikersmap en selecteer Nieuw > Gebruiker, zoals in de afbeelding weergegeven.

4. Specificeer in het venster Nieuwe object-gebruiker de identiteit van deze nieuwe gebruiker en klik op Volgende, zoals in de afbeelding.

(6)

5. Bevestig het wachtwoord en klik op Volgende en Voltooi de gebruikersinformatie na verificatie.

(7)

6. Pas de nieuwe gebruiker aan een bepaalde groep toe, klik met de rechtermuisknop op de groep en selecteer Toevoegen aan een groep, zoals in de afbeelding.

7. Typ in het paneel Selectiegroepen de naam van de gewenste groep en klik op Naam controleren. Selecteer vervolgens de naam die aan uw criteria voldoet en klik op OK.

8. Dit is de gebruiker die in dit document als voorbeeld wordt gebruikt.

(8)

Duo-configuraties

1. Meld u aan bij de Dudo-beheerder.

2. Klik op het linker zijpaneel naar Gebruikers, klik op Gebruiker toevoegen en typ de naam van de gebruiker die bij onze actieve gebruikersnaam voor het domein hoort en klik vervolgens op

Gebruiker toevoegen.

(9)

3. Vul in het paneel van de nieuwe gebruiker alle benodigde informatie in.

(10)

4. Onder gebruikersapparatuur dient de secundaire verificatiemethode te worden gespecificeerd.

Opmerking: in dit document wordt Duo voor de methode van de mobiele apparatuur gebruikt, zodat er een telefoonapparaat moet worden toegevoegd.

Klik op Telefoon toevoegen.

(11)

5. Typ het telefoonnummer van de gebruiker en klik op Telefoon toevoegen.

(12)

6. Klik in het linker paneel Duo Admin op Gebruikers en klik op de nieuwe gebruiker.

(13)

Opmerking: Als u momenteel geen toegang tot uw telefoon hebt, kunt u de e-mailoptie selecteren.

7.Blader naar het gedeelte Telefoons en klik op Duo Mobile activeren.

8. Klik op Generate Duo mobiele activeringscode.

9. Selecteer E-mail om de instructies via e-mail te ontvangen, typ uw e-mailadres en klik op Instructies per e-mail verzenden.

(14)

10. U ontvangt een e-mail met de instructies zoals in de afbeelding weergegeven.

(15)

1. Open de Duo Mobile App van uw mobiele apparaat en klik op Add en selecteer vervolgens QR- code gebruiken en scan de code uit de e-mail instructies.

12. Er wordt een nieuwe gebruiker toegevoegd aan uw Duo-app.

Configuratie van twee automatische proxy

1. Download en Installeer de Duo Auth Proxy Manager van https://duo.com/docs/authproxy- reference.

(16)

Opmerking: op dit document is de Duo Auth Proxy Manager geïnstalleerd op dezelfde Windows Server als waarin de actieve adresdiensten worden opgeslagen. 

2. Klik in het Duo Admin Panel op Application en klik op Protect een Application.

3. Ga op de zoekbalk naar Cisco ISE Radius.

4. Kopieer de integratietoets, de geheimhoudingssleutel en de API-naam. U hebt deze informatie nodig voor de configuratie van de Duo-verificatieproxy.

(17)

5. Start de Duo-verificatieproxy-toepassing en vul de configuratie in voor zowel de actieve Directory-client als de ISE Radius-server en klik op Verifiëren.

Opmerking: Als validatie geen succes heeft, raadpleeg dan het tabblad Debug voor meer informatie en corrigeer deze.

(18)

Cisco ISE-configuraties

1. Meld u aan bij het ISE Admin-portal.

2. Vul het tabblad Cisco ISE uit en navigeer naar Administratie en klik vervolgens op Netwerkbronnen en klik op Externe RADIUS-servers.

3. Klik op het tabblad Externe RADIUS-servers op Toevoegen.

(19)

4. Vul het lege formulier in met de RADIUS-configuratie die in de Duo-verificatieproxy Manager is gebruikt en klik op Inzenden.

5. Navigeer naar het tabblad RADIUS-serversequenties en klik op Toevoegen.

6. Specificeer de naam van de volgorde en wijs de nieuwe RADIUS-externe server toe op Inzenden.

(20)

7. navigeren van het Dashboard menu naar Beleidsformaten en klik op Policy Sets.

8. De RADIUS-volgorde aan het standaardbeleid toewijzen.

Opmerking: in dit document wordt de Duo-volgorde op alle verbindingen toegepast, dus er wordt een standaardbeleid gebruikt. Beleidstoewijzing kan naar behoefte variëren.

(21)

Cisco ASA RADIUS/ISE-configuratie

1. Configuratie ISE RADIUS-server onder AAA-servergroepen, navigeer naar Configuration en klik vervolgens op Apparaatbeheer en breid de sectie Gebruikers/AAA uit, selecteer AAA-

servergroepen.

(22)

Referenties

Download het nu ( PDF - 22 pagina - 2.61 MB )

GERELATEERDE DOCUMENTEN

Cisco VPN-client 3.x configureren voor Windows om lokale uitgebreide verificatie te gebruiken

ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds. ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B ISAKMP: keylength

HOTEL INFORMATIE GUEST DIRECTORY

Voor meer informatie kunt u terecht bij de receptie of ga naar www.9292ov.nl.. Naar

OSPF-verificatie op een virtuele link configureren

Index 1/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission

AnyConnect VPN op FTD configureren met Cisco ISE als RADIUS-server met Windows Server 2012 Root CA

AnyConnect VPN op FTD configureren met Cisco ISE als RADIUS-server met Windows Server 2012 Root

LEAP-verificatie op een lokale RADIUS-server

Beveiliging.Configureer de server en vermeld het IP-adres van dit access point, dat in dit voorbeeld 10.77.244.194 is.Vermeld de poortnummers 1812 en 1813 waarop de Local Radius

Instellingen afstandsbediening voor verificatie (RADIUS) server op een switch configureren

Ga naar de pagina Bestandsbewerkingen om de configuratie permanent op te slaan, of klik op het  pictogram in het bovenste gedeelte van de pagina.. Klik anders

ISE Posture over AnyConnect Remote Access VPN op FTD

Download AnyConnect van Cisco Software Download, dan uploaden deze naar ISE onder Beleidselementen>Resultaten>Clientprovisioning>Resources.. Selecteer "Cisco

Configuratie van Active Directory singleaanmelding

Toewijzing van gebruikersgroepen met AD-SSO (optioneel)In deze sectie leert u de SSO- gebruiker in kaart te brengen naar een andere specifieke groep dan de standaardgroep.Om