Configure Duo Multi Factor Authentication para que funcione con UCS Manager

Opciones de descarga

  • PDF     (125.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (87.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (75.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de abril de 2021
ID del documento:215569

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración y las prácticas recomendadas para implementar Cisco Duo Multi-Factor Authentication (MFA) con UCS Manager.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • UCS Manager
    • Cisco Duo

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Cisco UCS Manager utiliza la autenticación de dos factores para los inicios de sesión de usuarios remotos. El inicio de sesión de autenticación de dos factores requiere un nombre de usuario, un token y una combinación de contraseña en el campo de contraseña.


    Se admite la autenticación de dos factores cuando se utiliza el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) o los grupos de proveedores del sistema de control de acceso del controlador de acceso de terminal +(TACACS+) con dominios de autenticación designados con autenticación de dos factores para esos dominios. La autenticación de dos factores no admite el monitor de rendimiento entre redes (IPM) y no se admite cuando el rango de autenticación está establecido en el protocolo ligero de acceso a directorios
    (LDAP), local o ninguno.


    Con la implementación de Duo, la autenticación multifactor se realiza a través del proxy de autenticación dúo, que es un servicio de software en las instalaciones que recibe solicitudes de autenticación de sus dispositivos y aplicaciones locales a través de RADIUS o LDAP, opcionalmente realiza la autenticación primaria contra su directorio LDAP o servidor de autenticación RADIUS, y luego se pone en contacto con Duo para realizar la autenticación secundaria. Una vez que el usuario aprueba la solicitud de dos factores, que se recibe como notificación de inserción de Duo Mobile, o como llamada telefónica, etc, el proxy Duo devuelve la aprobación de acceso al dispositivo o aplicación que solicitó autenticación.

    Configurar

    Esta configuración cubre los requisitos para una implementación Duo exitosa con UCS Manager a través de LDAP y Radius.

    Nota: Para la configuración básica de Duo Authentication Proxy, consulte las pautas de Duo Proxy: Documento de Proxy Duo

    Integración de LDAP

    UCS Manager

    Navegue hasta UCS Manager > Admin Section > User Management > LDAP y habilite LDAP Providers SSL, esto significa que se requiere cifrado para las comunicaciones con la base de datos LDAP. LDAP utiliza STARTTLS. Esto permite la comunicación cifrada por el puerto de uso 389. Cisco UCS negocia una sesión de seguridad de la capa de transporte (TLS) en el puerto 636 para SSL, pero la conexión inicial comienza sin cifrar en el puerto 389.

    Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
    Base DN: Specify DN path
    Port: 389 or whatever your preference is for STARTTLS traffic.
    Timeout: 60 seconds
    Vendor: MS AD

    Nota: STARTTLS funciona en un puerto LDAP estándar, por lo que a diferencia de LDAPS, las integraciones STARTTLS utilizan el campo port= field not ssl_port= en el Proxy de Autenticación Duo.

    En el Proxy de autenticación Duo

    [ldap_server_auto]
    ikey=
    skey_protected= ==
    api_host=api.XXXXXX.duosecurity.com
    client=ad_client1
    failmode=secure
    port=389 or the port of your LDAP or STARTTLS traffic.
    ssl_port=636 or the port of your LDAPS traffic.
    allow_unlimited_binds=true
    exempt_primary_bind=false
    ssl_key_path=YOURPRIVATE.key
    ssl_cert_path=YOURCERT.pem
    exempt_primary_bind=false
    exempt_ou_1=full DN path

    Integración de Radius

    UCS Manager

    Navegue hasta UCS Manager > Admin > User Management > Radius y haga clic en Proveedores Radius:

    Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
    Timeout: 60 seconds
    Retries: 3

    Proxy de autenticación Duo

    [radius_server_auto]
    ikey=DIXXXXXXXXXXXXXXXXXX
    skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    api_host=api-XXXXXXXX.duosecurity.com
    radius_ip_1=5.6.7.8
    radius_secret_1=radiussecret1
    client=ad_client
    port=18121
    failmode=safe

    Prácticas recomendadas para instalar y configurar el proxy de autenticación Duo

    Implemente el Proxy de Autenticación en una red interna con firewall que:

    • El Duo Authentication Proxy también se puede configurar para alcanzar el servicio de Duo a través de un proxy web previamente configurado que admita el protocolo CONNECT.
    • Se puede conectar a los IDP adecuados, normalmente a través de TCP/636, TCP/389 o UDP/1812
    • Permite la comunicación con el proxy en los puertos RADIUS, LDAP o LDAPS apropiados. Estas reglas permiten a los dispositivos/aplicaciones autenticar a los usuarios con los proxies.
    • Si existe algún dispositivo de inspección SSL en el entorno, inhabilite/permita la inspección SSL de lista para las IP de proxy de autenticación.
    • Configure cada sección [radius_server_METHOD(X)] y [ldap_server_auto(X)] para escuchar en un puerto único.
      Obtenga más información sobre cómo utilizar el proxy de autenticación Duo para suministrar energía a varias aplicaciones en el sitio Duo Duo Proxy para varias aplicaciones.
    • Utilice secretos RADIUS y contraseñas únicos para cada dispositivo.
    • Utilice contraseñas protegidas/cifradas en el archivo de configuración de proxy.
    • Aunque el Proxy de autenticación puede coexistir en servidores multipropósito con otros servicios, se recomienda utilizar un servidor dedicado.
    • Asegúrese de que el Proxy de autenticación apunte a un servidor NTP confiable para garantizar una fecha y hora precisas.
    • Antes de la actualización del Proxy de autenticación, realice siempre una copia de seguridad del archivo de configuración.
    • Para los servidores del Proxy de autenticación basado en Windows, configure el Servicio del Proxy de autenticación de seguridad Duo para incluir algunas opciones de recuperación en caso de fallos de alimentación o de red:

      Paso 1. Dentro de Services en su servidor, haga clic con el botón derecho en el servicio Duo Security Authentication Proxy y, a continuación, haga clic en Preferences.

          Paso 2. Haga clic en Recuperación y, a continuación, configure las opciones para reiniciar el servicio después de las fallas.

    • Para los servidores del Proxy de autenticación basado en Linux, haga clic en yes en el mensaje visible en la instalación que pregunta si desea crear un script de inicialización. A continuación, cuando inicie el Proxy de autenticación, utilice un comando como sudo service duoauthproxy start, para que el comando para el script de inicialización pueda variar en función del sistema en el que se encuentre.

    Verificación

    Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

    Troubleshoot

    Actualmente no hay información de troubleshooting específica disponible para esta configuración.

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Carlos Arroyo
      Cisco TAC Engineer
    • James Richardson
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos