配置Duo與Active Directory和ISE的整合，以在Anyconnect/遠端接入VPN客戶端上實現雙因素身份驗證

1. 主身份驗證已啟動到Cisco ISE。
2. Cisco ASA向Duo認證代理傳送身份驗證請求。
3. 主身份驗證使用Active Directory或RADIUS。
4. 已透過TCP埠443建立到Duo Security的Duo Authentication代理連線。
5. 透過Duo Security服務進行輔助身份驗證。
6. Duo驗證代理接收驗證響應。
7. 已授予思科ISE訪問許可權。

使用者帳戶:

• Active Directory管理員：此帳戶用作目錄帳戶，以允許Duo Auth Proxy繫結到Active Directory伺服器進行主身份驗證。
• Active Directory測試使用者
• Duo測試使用者進行輔助身份驗證

Active Directory配置

Windows伺服器已預配置Active Directory域服務。

注意：如果RADIUS Duo Auth Proxy Manager在同一台Active Directory主機上運行，則必須解除安裝/刪除網路策略伺服器(NPS)角色。如果兩個RADIUS服務都執行，可能會發生衝突，並影響效能。 

為了在遠端訪問VPN使用者上實現身份驗證和使用者身份的AD配置，需要一些值。

必須在Microsoft伺服器上建立或收集所有這些詳細資訊，然後才能在ASA和Duo Auth Proxy伺服器上進行配置。

主要值為：

• 域名。這是伺服器的域名。在此配置指南中，agarciam.cisco是域名。

• 伺服器IP/完全限定域名(FQDN)地址。用於連線Microsoft伺服器的IP地址或FQDN。如果使用FQDN，則必須在ASA和Duo Auth Proxy中配置DNS伺服器以解析FQDN。

    在本配置指南中，此值為agarciam.cisco（解析為10.28.17.107）。

• 伺服器埠。LDAP服務使用的埠。預設情況下，LDAP和STARTTLS使用TCP埠389作為LDAP，而LDAP over SSL (LDAPS)使用TCP埠636。

• 根CA。如果使用LDAPS或STARTTLS，則需要使用根CA來簽署LDAPS使用的SSL證書。

• 目錄使用者名稱和密碼。這是Duo Auth Proxy伺服器用來繫結至LDAP伺服器並驗證使用者以及搜尋使用者與群組的帳戶。

• 基底和群組辨別名稱(DN)。基礎DN是Duo Auth Proxy的出發點，指示Active Directory開始搜尋和驗證使用者。

   

在本配置指南中，根域agarciam.cisco用作基礎DN，組DN為Duo-USERS。

1. 要增加新的Duo使用者，請在Windows Server上導航到左下方的Windows圖示，然後按一下Windows管理工具，如圖所示。

2. 在「Windows管理工具」窗口中，導航到Active Directory使用者和電腦。 

在「Active Directory使用者和電腦」面板上，展開「域」選項，然後導航到使用者資料夾。

在此配置示例中，Duo-USERS用作輔助身份驗證的目標組。

3. 按一下右鍵使用者資料夾，然後選擇新建>使用者，如下圖所示。

4. 在「新建對象-使用者」窗口上，指定此新使用者的身份屬性，然後按一下下一步，如圖所示。

5. 確認口令並在驗證使用者資訊後按一下Next，然後按一下Finish。

6. 將新使用者分配給特定組，按一下右鍵，然後選擇增加到組（如圖所示）。

7. 在「選擇組」面板上，鍵入所需組的名稱，然後按一下檢查名稱。

然後，選擇與條件匹配的名稱，然後按一下Ok。

8. 此使用者是本檔案所使用的範例。

Duo組態

1. 登入您的Duo管理門戶。

2. 在左側面板上，導航到Users，按一下Add User，然後鍵入與我們的Active Domain使用者名稱匹配的使用者名稱，再按一下Add User。

3. 在「新使用者」面板上，填寫所有必要資訊。

4. 在「使用者裝置」底下，指定次要驗證方法。

注意：在本文檔中，使用Duo流動裝置推送方法，因此需要增加電話裝置。

按一下Add Phone。

5. 鍵入使用者電話號碼並按一下Add Phone。

6. 在Duo Admin左窗格中，導航到使用者，然後按一下「新使用者」。

注意：如果您目前無權訪問電話，可以選擇電子郵件選項。

7. 導航到電話部分並按一下啟用Duo Mobile。

8. 按一下Generate Duo Mobile Activation Code。

9. 選擇Email以透過電子郵件接收說明，鍵入您的電子郵件地址並按一下Send Instructions by email。

10. 您會收到一封附有說明的電子郵件，如圖所示。

11. 從流動裝置打開Duo Mobile App，然後按一下Add，然後選擇Use QR code並掃描說明電子郵件中的代碼。

12. 新使用者將增加到您的Duo Mobile App。

Duo Auth Proxy配置

1. 從Cisco Duo Authentication下載並安裝Duo Auth Proxy Manager

注意：在本文檔中，Duo Auth Proxy Manager安裝在承載Active Directory服務的同一Windows伺服器上。 

2. 在Duo管理面板上，導航到「應用程式」，然後按一下保護應用程式。

3. 在搜尋欄上，查詢Cisco ISE Radius。

4. 複製整合金鑰、金鑰和API主機名。您需要此資訊才能進行Duo認證代理配置。

5. 運行Duo Authentication Proxy Manager應用程式並完成Active Directory客戶端和ISE Radius伺服器的配置，然後按一下Validate。

附註：如果驗證不成功，請參考除錯頁簽以取得詳細資訊，並視情況加以更正。

Cisco ISE配置

1. 登入ISE管理員門戶。

2. 展開Cisco ISE頁籤並導航到Administration，然後點選Network Resources，點選External RADIUS Servers。

3. 在外部Radius伺服器頁籤上，按一下增加。

4. 用Duo Authentication Proxy Manager中使用的RADIUS配置填寫空白並按一下Submit。

5. 導航到RADIUS Server Sequences頁籤，然後按一下Add。

6. 指定序列名稱並分配新的RADIUS外部伺服器，按一下Submit。

7. 從「控制台」選單定位至策略，然後按一下策略集。

8. 將RADIUS序列分配給預設策略。

注意：在本文檔中，對所有連線應用Duo序列，因此使用預設策略。策略分配可能因要求而異。

Cisco ASA RADIUS/ISE配置

1. 要在AAA伺服器組下配置ISE RADIUS伺服器，請導航到配置，然後按一下裝置管理，展開使用者/AAA部分，然後選擇AAA伺服器組。

2. 在AAA Server Groups面板上，按一下Add。

3. 選擇「伺服器」組的名稱，並指定RADIUS作為要使用的協定，然後按一下確定。

5. 選擇新的「伺服器」組，然後按一下「所選組」面板中「伺服器」下的增加（如圖所示）。

6. 在Edit AAA Server窗口上，選擇介面名稱，指定ISE伺服器的IP地址並鍵入RADIUS金鑰，然後按一下Ok。

注意：所有這些資訊必須與Duo Authentication Proxy Manager上指定的資訊匹配。

CLI配置

aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

Cisco ASA遠端訪問VPN配置

ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

測試

1. 打開PC裝置上的Anyconnect應用。指定VPN ASA頭端的主機名，並使用為Duo輔助身份驗證建立的使用者登入，然後按一下OK。

2. 您在指定的使用者Duo Mobile裝置上收到Duo推送通知。

3. 打開Duo Mobile App通知，然後按一下Approve。

4. 接受標語，然後建立連線。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

Duo Authentication Proxy隨附可顯示錯誤和失敗原因的偵錯工具。

工作調試

注意：下一個資訊儲存在C:\Program Files\Duo Security Authentication Proxy\log\connectivity_tool.log中。

1. 連線問題、錯誤的IP、Active Directory配置上無法解析的FQDN/主機名。

2. Active Directory上管理員使用者的密碼錯誤。

調試

3. 錯誤的基底網域

調試

4. 錯誤的Key RADIUS值

調試

5. 驗證ISE伺服器傳送訪問請求資料包。

6. 為了確認Duo認證代理伺服器正常工作，Duo提供了工具NTRadPing來模擬訪問請求資料包和與Duo的響應。

     6.1在不同的PC上安裝NTRadPing並生成流量。

注意：本示例中使用10.28.17.3 Windows電腦。

     6.2使用ISE Radius配置中使用的屬性進行配置。

     6.3按如下所示配置Duo Authentication Proxy Manager。

     6.4.導航到NTRadPing工具，然後按一下Send。您會在指定的行動裝置上收到Duo推送通知。