Duo를 사용하여 ISE 3.3 기본 Multi-factor Authentication 구성

다운로드 옵션

  • PDF     (2.5 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (2.4 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.9 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2023년 12월 11일
문서 ID:221232

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 ISE(Identity Services Engine) 3.3 패치 1을 Duo for Multi-factor Authentication과 통합하는 방법에 대해 설명합니다. 버전 3.3 패치 1 ISE에서 Duo 서비스와의 네이티브 통합을 구성할 수 있으므로 인증 프록시가 필요하지 않습니다.

    사전 요구 사항

    요구 사항

    Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.

    • ISE

    • Duo

    사용되는 구성 요소

    이 문서의 정보는 다음을 기반으로 합니다.

    • Cisco ISE 버전 3.3 패치 1
    • Duo
    • Cisco ASA 버전 9.16(4)
    • Cisco Secure Client 버전 5.0.04032

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    순서도

    순서도순서도

    단계

    0. 컨피그레이션 단계에서는 사용자가 동기화되는 Active Directory 그룹을 선택하고 MFA 마법사가 완료되면 동기화가 수행됩니다. 두 단계로 구성되어 있습니다. Active Directory에 대한 조회를 통해 사용자 및 특정 특성 목록을 가져옵니다. Cisco ISE Admin API를 사용하는 Duo Cloud에 대한 호출은 사용자를 해당 위치로 유도하기 위해 이루어집니다. 관리자는 사용자를 등록해야 합니다. 등록에는 사용자가 Duo Push로 원탭 인증을 사용할 수 있도록 하는 Duo Mobile의 사용자를 활성화하는 선택적 단계가 포함될 수 있습니다

    1. VPN 연결이 시작되고, 사용자가 사용자 이름 및 비밀번호를 입력하고 OK(확인)를 클릭합니다. 네트워크 디바이스가 RADIUS 액세스 요청을 PSN으로 전송

    2. PSN 노드가 Active Directory를 통해 사용자를 인증합니다.

    3. 인증이 성공하고 MFA 정책이 구성된 경우, PSN은 Duo Cloud에 연결하기 위해 PAN을 사용합니다

    4. Cisco ISE Auth API를 사용하여 Duo Cloud를 호출하면 Duo를 사용하여 2단계 인증이 호출됩니다. ISE는 SSL TCP 포트 443에서 Duo의 서비스와 통신합니다.

    5. 2단계 인증이 수행됩니다. 사용자가 2단계 인증 프로세스 완료

    6. Duo는 2단계 인증 결과로 PAN에 응답합니다.

    7. PAN이 2단계 인증 결과로 PSN에 응답합니다.

    8. 액세스 수락이 네트워크 장치로 전송되면 VPN 연결이 설정됩니다.

    설정

    보호할 애플리케이션 선택

    Duo Admin Dashboard(Duo 관리 대시보드) https://admin.duosecurity.com/login으로 이동합니다. 관리자 자격 증명으로 로그인합니다.

    Dashboard(대시보드) > Applications(애플리케이션) > Protect an Application(애플리케이션 보호)으로 이동합니다. Cisco ISE Auth API를 찾고 Protect(보호)를 선택합니다.

    인증 API 1인증 API 1

    통합 키비밀 키를 기록해 둡니다.

    인증 API 2인증 API 2

    Dashboard(대시보드) > Applications(애플리케이션) > Protect an Application(애플리케이션 보호)으로 이동합니다. Cisco ISE Admin API를 찾고 Protect(보호)를 선택합니다.

    참고: 소유자 역할을 가진 관리자만 Duo Admin(듀오 관리) 패널에서 Cisco ISE 관리 API 애플리케이션을 만들거나 수정할 수 있습니다.

    인증 API 1인증 API 1

    통합 키비밀 키API 호스트 이름 기록합니다.

    관리 API 2관리 API 2

    API 권한 구성

    Dashboard(대시보드) > Applications(애플리케이션) > Application(애플리케이션)으로 이동합니다. Cisco ISE Admin API를 선택합니다.

    Grant Read Resource(읽기 리소스 허용)Grant Write Resource Permissions(쓰기 리소스 권한 부여)를 선택합니다. Save Changes(변경 사항 저장)를 클릭합니다.

    관리 API 3관리 API 3

    ISE를 Active Directory와 통합

    1. Administration(관리) > Identity Management(ID 관리) > External Identity Stores(외부 ID 저장소) > Active Directory > Add(추가)로 이동합니다. 가입 포인트 이름, Active Directory 도메인을 입력하고 Submit(제출)을 클릭합니다.

    Active Directory 1Active Directory 1

    2. 모든 ISE 노드를 이 Active Directory 도메인에 가입시키라는 메시지가 표시되면 Yes()를 클릭합니다.

    Active Directory 2Active Directory 2

    3. AD 사용자 이름 및 암호를 입력하고 확인을 클릭합니다.

    Active Directory 3Active Directory 3

    ISE에서 도메인 액세스에 필요한 AD 계정은 다음 중 하나를 가질 수 있습니다.

    • 각 도메인의 도메인 사용자 권한에 워크스테이션 추가
    • ISE 시스템의 계정이 ISE 시스템을 도메인에 조인하기 전에 생성된 각 컴퓨터 컨테이너에서 컴퓨터 개체 만들기 또는 컴퓨터 개체 삭제 권한

    참고: Cisco는 ISE 계정에 대한 잠금 정책을 비활성화하고 해당 계정에 잘못된 비밀번호가 사용되는 경우 관리자에게 알림을 전송하도록 AD 인프라를 구성하는 것을 권장합니다. 잘못된 비밀번호를 입력하면 ISE는 필요한 경우 머신 계정을 생성하거나 수정하지 않으므로 모든 인증을 거부할 수 있습니다.

    4. AD 작동 상태

    Active Directory 4Active Directory 4

    5. 그룹 > 추가 > 디렉토리에서 그룹 선택 > 그룹 검색으로 이동합니다. 이 이미지에 표시된 대로 선택한 AD 그룹(사용자 동기화 및 권한 부여 정책에 사용됨)에 대한 확인란을 선택합니다.

    Active Directory 5Active Directory 5

     6. 검색된 AD 그룹을 저장하려면 저장을 클릭합니다.

    Active Directory 6Active Directory 6

    Open API 활성화

    Administration(관리) > System(시스템) > Settings(설정) > API Settings(API 설정) > API Service Settings(API 서비스 설정)로 이동합니다. Open API를 활성화하고 Save를 클릭합니다.

    개방형 API개방형 API

    MFA ID 소스 사용

    Administration(관리) > Identity Management(ID 관리) > Settings(설정) > External Identity Sources Settings(외부 ID 소스 설정)로 이동합니다. MFA를 활성화하고 Save(저장)를 클릭합니다.

    ISE MFA 1ISE MFA 1

    MFA 외부 ID 소스 구성

    Administration(관리) > Identity Management(ID 관리) > External Identity Sources(외부 ID 소스)로 이동합니다. Add를 클릭합니다. Welcome(시작) 화면에서 Let's Do It(시작하겠습니다)을 클릭합니다.

    ISE DUO 마법사 1ISE Duo 마법사 1

    다음 화면에서 Connection Name(연결 이름)을 구성하고 Next(다음)를 클릭합니다.

    ISE DUO 마법사 2ISE Duo 마법사 2

    보호할 애플리케이션 선택 단계에서 API 호스트 이름, Cisco ISE 관리 API 통합 및 비밀 키, Cisco ISE 인증 API 통합비밀 키의 값을 구성합니다.

    ISE DUO 마법사 3ISE Duo 마법사 3

    Test Connection(연결 테스트) 클릭합니다. Test Connection(연결 테스트)이 성공하면 Next(다음)를 클릭할 수 있습니다.

    ISE DUO 마법사 4ISE Duo 마법사 4

    ID 동기화를 구성합니다. 이 프로세스는 이전에 제공된 API 자격 증명을 사용하여 선택한 Active Directory 그룹의 사용자를 Duo Account로 동기화합니다. Active Directory Join Point를 선택합니다. Next(다음)를 클릭합니다.

    참고: Active Directory 컨피그레이션이 문서 범위에 속하지 않습니다. ISE를 Active Directory와 통합하려면 이 문서를 따르십시오.

    ISE DUO 마법사 5ISE Duo 마법사 5

    사용자를 Duo와 동기화하려는 Active Directory 그룹을 선택합니다. Next(다음)를 클릭합니다.

    ISE DUO 마법사 6ISE Duo 마법사 6

    설정이 올바른지 확인하고 Done(완료)을 클릭합니다.

    ISE DUO 마법사 7ISE Duo 마법사 7

    듀오에 사용자 등록

    참고: Duo User Enrollment(듀오 사용자 등록)는 이 문서의 범위에 포함되지 않습니다. 사용자 등록에 대한 자세한 내용은 문서를 참조하십시오. 이 문서에서는 수동 사용자 등록을 사용합니다.

    Duo Admin Dashboard를 엽니다. Dashboard(대시보드) > Users(사용자)로 이동합니다. ISE에서 동기화된 사용자를 클릭합니다.

    DUO 등록 1듀오 등록 1

    아래로 스크롤하여 전화기로 이동합니다. Add Phone(전화기 추가)을 클릭합니다.

    DUO 등록 2듀오 등록 2

    전화 번호를 입력하고 Add Phone(전화 추가)을 클릭합니다.

    스크린샷_2023-11-16_at_14_47_32Duo 등록 3

    정책 집합 구성

    1. 인증 정책 구성

    Policy(정책) > Policy Set(정책 집합)로 이동합니다. MFA를 활성화하려는 정책 집합을 선택합니다. 기본 인증 ID 저장소를 Active Directory로 사용하여 인증 정책을 구성합니다.

    정책 설정 1정책 설정 1

    2. MFA 정책 구성

    ISE에서 MFA가 활성화되면 ISE 정책 세트의 새 섹션을 사용할 수 있습니다. MFA Policy(MFA 정책)를 확장하고 +를 클릭하여 MFA 정책을 추가합니다. 선택한 MFA 조건을 구성합니다. 앞서 사용 섹션에서 구성한 DUO-MFA 선택합니다. Save(저장)를 클릭합니다.

    ISE 정책ISE 정책

    참고: 위에서 구성한 정책은 Tunnel-Group Named RA를 사용합니다. RA 터널 그룹에 연결된 사용자는 MFA를 수행해야 합니다. ASA/FTD 구성은 이 문서의 범위에 포함되지 않습니다. ASA/FTD를 구성하려면 이 문서를 사용하십시오

    3. 권한 부여 정책 구성 

    Active Directory 그룹 조건 및 선택한 권한으로 권한 부여 정책을 구성합니다.

    정책 설정 3정책 설정 3

    제한 사항

    이 문서를 작성하는 시점:

    1. Duo Push 및 Phone만 2단계 인증 방법으로 지원됩니다.

    2. 그룹이 듀오 클라우드로 푸시되지 않으며 사용자 동기화만 지원됩니다.

    3. 다음 다단계 인증 활용 사례만 지원됩니다.

    • VPN 사용자 인증
    • TACACS+ 관리자 액세스 인증

    다음을 확인합니다.

    Cisco Secure Client를 열고 Connect(연결)를 클릭합니다. 사용자 이름비밀번호를 입력하고 OK를 클릭합니다.

    VPN 클라이언트VPN 클라이언트

    사용자 모바일 장치는 Duo Push Notification을 받아야 합니다. 승인. VPN 연결이 설정되었습니다.

    듀오 푸시듀오 푸시

    ISE Operations(ISE 작업) > Live Logs(라이브 로그)로 이동하여 사용자 인증을 확인합니다.

    라이브 로그 1라이브 로그 1

    Details Authentication Report(세부사항 인증 보고서)를 클릭하고 Authentication Policy(인증 정책), Authorization Policy(권한 부여 정책) 및 Authorization Result(권한 부여 결과)를 확인합니다. 오른쪽의 Steps(단계)를 스크롤합니다. MFA가 성공적으로 실행되었는지 확인하려면 다음 행이 있어야 합니다.

    Multi-Factor Authentication 성공

    라이브 로그 2라이브 로그 2

    문제 해결

    ISE에서 활성화할 디버깅.

    사용 사례 로그 구성 요소 로그 파일 키 로그 메시지
    MFA 관련 로그 정책 엔진 ise-psc.log DuoMfaAuthApiUtils -::::- Duo Client Manager에 요청을 제출했습니다.
    DuoMfaAuthApiUtils —> Duo 응답
    정책 관련 로그 포트-JNI prrt-management.log RadiusMfaPolicyRequestProcessor
    TacacsMfaPolicyRequestProcessor
    인증 관련 로그 런타임 AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
    MfaAuthenticator::sendAuthenticateEvent
    MfaAuthenticator::onResponseEvaluatePolicyEvent
    Duo 인증, ID 동기화 관련 로그 duo-sync-service.log

    개정 이력

    개정 게시 날짜 의견
    1.0
    11-Dec-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 유진 코르네이추크
      Cisco TAC 기술 리더

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품