SSL VPN-verificatie configureren via FTD, ISE, DUO en Active Directory

Downloadopties

  • PDF     (4.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 juli 2024
Document-id:222208

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de integratie van SSL VPN in Firepower Threat Defence met behulp van Cisco ISE en DUO Security voor AAA.

    Vereisten

    • ISE 3.0 of hoger.
    • VCC 7.0 of hoger.
    • FTD 7.0 of hoger.
    • DUO-verificatieproxy.
    • ISE Essentials-licenties
    • Licentie voor DUO Essentials.

    Gebruikte componenten

    • ISE 3.2-patch 3
    • VCC 7.2.5
    • FTD 7.2.5
    • Proxy DUO 6.3.0
    • Any Connect 4.10.08029

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Netwerkdiagram

    Oplossingtopologie.Topologie.

    In onze voorgestelde oplossing is Cisco ISE een cruciale RADIUS-serverproxy. In plaats van een directe evaluatie van het verificatie- of autorisatiebeleid, is ISE geconfigureerd om de RADIUS-pakketten van de FTD naar de DUO-verificatieproxy te sturen. 

    De DUO-verificatieproxy fungeert als een speciale intermediair binnen deze verificatiestroom. Het is op een Windows-server geïnstalleerd en overbrugt de kloof tussen Cisco ISE en de DUO-cloud. De proxy primaire functie is het verzenden van verificatieverzoeken - ingekapseld in RADIUS-pakketten - naar de DUO Cloud. De DUO Cloud staat uiteindelijk netwerktoegang toe of ontkent op basis van de tweevoudige verificatieconfiguraties.

    1. De gebruiker start het VPN-verificatieproces door hun unieke gebruikersnaam en wachtwoord in te voeren.

    2. De Firewall Threat Defence (FTD) stuurt het verificatieverzoek naar Cisco Identity Services Engine (ISE).

    3. Het Policy Services Node (PSN) stuurt het verificatieverzoek door naar de DUO-verificatieproxyserver. Vervolgens valideert de DUO-verificatieserver de referenties via de DUO Cloud-service.

    4. De DUO Cloud valideert de gebruikersnaam en het wachtwoord tegen zijn gesynchroniseerde database.

    waarschuwingspictogram   Let op: de synchronisatie tussen de DUO Cloud en de organisaties Active Directory moet actief zijn om een up-to-date gebruikersdatabase in de DUO Cloud te onderhouden.

    5. Na een succesvolle verificatie start de DUO Cloud een DUO Push naar de gebruikers die geregistreerd zijn op een mobiel apparaat via een beveiligde, versleutelde push-melding. De gebruiker moet dan de DUO Push goedkeuren om hun identiteit te bevestigen en verder te gaan.

    6. Zodra de gebruiker de DUO Push goedkeurt, stuurt de DUO-verificatieproxy-server een bevestiging terug naar de PSN om aan te geven dat de verificatieaanvraag door de gebruiker is geaccepteerd.

    7. Het PSN-knooppunt stuurt de bevestiging naar het FTD om te informeren dat de gebruiker is geauthentiseerd.

    8. Het FTD ontvangt de verificatiebevestiging en stelt de VPN-verbinding met het eindpunt in met de juiste beveiligingsmaatregelen.

    9. De FTD registreert de details van de succesvolle VPN-verbinding en stuurt de boekhoudgegevens veilig terug naar het ISE-knooppunt voor het bijhouden van gegevens en audits.

    10. Het ISE-knooppunt registreert de boekhoudinformatie in zijn levensonderhoud en zorgt ervoor dat alle gegevens veilig worden opgeslagen en toegankelijk zijn voor toekomstige audits of nalevingscontroles.

    pictogram van opmerking

    Opmerking:

    Voor de installatie in deze handleiding worden de volgende netwerkparameters gebruikt:

    - IP-knooppunt voor primaire netwerkserver (PNS): 10.4.23.21

    - FTD (Firepower Threat Defence) IP voor peer VPN: 10.4.23.53

    - DUO-verificatieproxy voor IP: 10.31.126.2007

    - Domeinnaam: testlab.local

    Configuraties

    FTD-configuraties.

    Een RADIUS-server integreren in het Firepower Management Center (FMC)

    1. Open het VCC door uw webbrowser te starten en het IP-adres van het VCC in te voeren om de grafische gebruikersinterface (GUI) te openen.

    2. Ga naar het menu Objecten, selecteer AAA-server en ga verder naar de optie RADIUS-servergroep.

    3. Klik op de knop RADIUS-servergroep toevoegen om een nieuwe groep voor RADIUS-servers te maken.

    RADIUS-servergroepRADIUS-servergroep.

    4. Voer een beschrijvende naam in voor de nieuwe AAA RADIUS-servergroep om een duidelijke identificatie binnen uw netwerkinfrastructuur te garanderen.

    5. Voeg vervolgens een nieuwe RADIUS-server toe door de juiste optie te selecteren binnen de groepsconfiguratie.RADIUS-serverRADIUS-server.

    6. Specificeer het IP-adres van RADIUS-servers en voer de gedeelde geheime sleutel in.

    pictogram van opmerking

    Opmerking: het is van essentieel belang dat deze geheime sleutel veilig wordt gedeeld met de ISE-server om een succesvolle RADIUS-verbinding tot stand te brengen.

    Nieuwe RADIUS-serverNieuwe RADIUS-server.

    7. Klik na het configureren van de RADIUS-servergegevens op Save om de instellingen voor de RADIUS-servergroep te bewaren.

    Gegevens over servergroepGegevens over servergroep.

    8. Als u de AAA-serverconfiguratie in uw netwerk wilt voltooien en implementeren, navigeert u naar het menu Implementeren en vervolgens selecteert u Alles implementeren om de instellingen toe te passen.

    AAA-server implementerenAAA-server implementeren.

    Configureer de externe VPN.

    1. Ga naar Apparaten > VPN > Externe toegang in de FMC GUI om het VPN-configuratieproces te starten.

    2. Klik op de knop Add om een nieuw VPN-verbindingsprofiel te maken.

    VPN-verbindingsprofielVPN-verbindingsprofiel.

    3. Voer een unieke en beschrijvende naam voor VPN in om de VPN binnen uw netwerkinstellingen te helpen identificeren.

    4. Kies de SSL-optie om een beveiligde verbinding te garanderen met behulp van het SSL VPN-protocol.

    5. Selecteer het specifieke FTD-apparaat in de lijst met apparaten.

    VPN-instellingenVPN-instellingen.

    6. Configureer de AAA-methode om de PSN-knooppunt in de verificatie-instellingen te gebruiken.

    VerbindingsprofielVerbindingsprofiel.

    7. Stel dynamische IP-adrestoewijzing in voor VPN.

    waarschuwingspictogram

    Waarschuwing: bijvoorbeeld is de DHCP VPN-pool geselecteerd.

    IP-adresgroepIP-adresgroep.

    8. Ga verder met het creëren van een nieuw groepsbeleid.

    GroepsbeleidGroepsbeleid.

    9. Controleer of in de instellingen Groepsbeleid het SSL-protocol is geselecteerd.

    VPN-protocollenVPN-protocollen.

    10. Maak een nieuwe VPN-pool of selecteer een bestaande om de reeks IP-adressen te definiëren die beschikbaar zijn voor VPN-clients.

    VPN-groepPool VPN.

    1. Specificeer de DNS-servergegevens voor de VPN-verbinding.

    DNS-instellingenDNS-instellingen.

    waarschuwing-pictogram

    Waarschuwing: extra functies zoals Banner, Split Tunneling, AnyConnect en Geavanceerde opties worden als optioneel beschouwd voor deze configuratie.

    12. Klik na het configureren van de benodigde gegevens op Volgende om verder te gaan naar de volgende fase van de installatie.

    GroepsbeleidGroepsbeleid.

    13. Selecteer het juiste AnyConnect-pakket voor de VPN-gebruikers. Als het vereiste pakket niet wordt vermeld, hebt u de optie om het benodigde pakket in deze fase toe te voegen.

    PakketinstallatiePakketinstallatie.

    14. Kies de netwerkinterface op het FTD-apparaat waarin u de externe functie van VPN wilt inschakelen.

    VPN-interfaceVPN-interface

    15. Voer een certificaatinschrijvingsproces in door een van de beschikbare methoden te selecteren om het certificaat op de firewall te maken en te installeren, wat essentieel is voor beveiligde VPN-verbindingen.

    waarschuwingspictogram

    Waarschuwing: in deze handleiding is bijvoorbeeld een zelfondertekend certificaat geselecteerd.

    ApparaatcertificaatApparaatcertificaat.

    Cert-inschrijvingCert-inschrijving.

    16. Klik op Volgende zodra de certificaatinschrijving is geconfigureerd.

    Overzicht van Access & servicesOverzicht van Access & services

    17. Bekijk de samenvatting van al uw configuraties om er zeker van te zijn dat ze nauwkeurig zijn en uw beoogde instellingen weergeven.

    Samenvatting van VPN-instellingenSamenvatting van VPN-instellingen.

    18. Om de configuratie van de externe VPN-toegang toe te passen en te activeren, navigeer om alles te implementeren > implementeren en voer de implementatie uit op het geselecteerde FTD-apparaat.

    VPN-instellingen implementerenVPN-instellingen implementeren.

    ISE-configuraties.

    Integreer DUO als een Externe Radius Server.

    1. Navigeer naar Beheer > Netwerkbronnen > Externe RADIUS-servers in de Cisco ISE-beheerinterface.

    2. Klik op de knop Add om een nieuwe externe RADIUS-server te configureren.

    Lijst met externe RADIUS-serversExterne RADIUS-servers

    3. Voer een naam in voor de Proxy DUO Server.

    4. Voer het juiste IP-adres in voor de Proxy DUO Server om een juiste communicatie tussen de ISE en de DUO-server te waarborgen.

    5. Stel de gedeelde geheime sleutel in.

    pictogram van opmerking

    Opmerking: deze gedeelde geheime sleutel moet in de Proxy DUO Server worden geconfigureerd om een RADIUS-verbinding tot stand te brengen.

    6. Zodra alle details correct zijn ingevoerd, klikt u op Indienen om de nieuwe Proxy DUO Server-configuratie op te slaan.

    Details externe RADIUS-serversExterne RADIUS-servers

    7. Ga verder naar Beheer > RADIUS-serverreeks.

    8. Klik op Add om een nieuwe RADIUS-serverreeks te maken.

    RADIUS-serversequentiesRADIUS-serversequenties

    9. Geef een duidelijke naam voor de RADIUS-serverreeks voor eenvoudige identificatie.

    10. Zoek de eerder geconfigureerde DUO RADIUS-server, DUO_Server genoemd in deze handleiding, en verplaats deze naar de geselecteerde lijst rechts om deze in de reeks op te nemen.

    11. Klik op Indienen om de configuratie van de RADIUS-serverreeks te voltooien en op te slaan.

    Configuratie van RADIUS-serverreeksConfiguratie van de RADIUS-serverreeks.

    Integreer de FTD als een netwerktoegangsapparaat.

    1. Navigeer naar het gedeelte Beheer in uw systeeminterface en selecteer vervolgens Network Resources om toegang te krijgen tot het configuratiegebied voor netwerkapparaten.

    2. Zoek en klik in het gedeelte Network Resources eenmaal op de knop Add om het proces voor het toevoegen van een nieuw netwerktoegangsapparaat te starten.

    NetwerktoegangsapparatenNetwerktoegangsapparaten.

    3. Voer in de daarvoor bestemde velden de naam van het netwerktoegangsapparaat in om het apparaat in uw netwerk te identificeren.

    4. Specificeer vervolgens het IP-adres van het FTD-apparaat (Firepower Threat Defence).

    5. Voer de sleutel in die eerder is ingesteld tijdens de installatie van het VCC (Firepower Management Center). Deze sleutel is essentieel voor veilige communicatie tussen apparaten.

    6. Voltooi de procedure door op de knop Indienen te klikken.

    FTD toevoegen als NADFTD toevoegen als NAD.

    RADIUS-instellingenRADIUS-instellingen

    DUO-configuraties.

    DUO Proxy-installatie.

    Toegang tot de DUO Proxy Download en Installatie Gids door te klikken op de volgende link: 

    https://duo.com/docs/authproxy-reference

    Integreren DUO Proxy met ISE en DUO Cloud.

    1. Log in op de DUO Security website op https://duo.com/ met behulp van uw referenties.

    2. Navigeer naar het gedeelte Toepassingen en selecteer Bescherm een toepassing om door te gaan.

    DUO-toepassingenDUO-toepassingen

    3. Zoek naar de "Cisco ISE RADIUS"-optie in de lijst en klik op Protect om deze aan uw toepassingen toe te voegen.

    ISE-RADIUS-optieISE-RADIUS-optie

    4. Als de toevoeging succesvol is, zult u de details van de DUO-applicatie zien. Blader naar beneden en klik op Opslaan.

    5. Kopieer de meegeleverde integratiesleutel, geheime sleutel en API hostname; deze zijn cruciaal voor de komende stappen.

    ISE-servergegevensISE-servergegevens

    6. Start de DUO Proxy Manager op uw systeem om door te gaan met de setup.

    DUO Proxy ManagerDUO Proxy Manager

    7. (Optioneel) Als uw DUO Proxy Server een proxy-configuratie nodig heeft om verbinding te maken met de DUO Cloud, voert u de volgende parameters in:

    [main]
http_proxy_host=<Proxy IP Address or FQDN >
http_proxy_port=<port>
    waarschuwingspictogram

    Waarschuwing: Zorg ervoor dat u vervangt en met uw daadwerkelijke volmachtsdetails.

    8. Gebruik nu de informatie die u eerder hebt gekopieerd om de integratieconfiguratie te voltooien. 

    [radius_server_auto]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
radius_ip_1=<ISE IP address>
radius_secret_1=<secret key configured in the external RADIUS server section>
failmode=safe
port=1812
client=ad_client
    tippictogram

    Tip: De lijn client=ad_client is een indicatie dat de DUO Proxy authenticeert met behulp van een Active Directory-account. Zorg ervoor dat deze informatie correct is om de synchronisatie met de Active Directory te voltooien.

    Integreren DUO met Active Directory.

    1. Integreer de DUO-verificatieproxy met uw Active Directory.

    [ad_client]
host=<AD IP Address>
service_account_username=<service_account_username>
service_account_password=<service_account_password>
search_dn=DC=<domain>,DC=<TLD>

    2. Sluit je aan bij je Active Directory met DUO cloud services. Log in op https://duo.com/.

    3. Navigeer naar "Gebruikers" en selecteer "Directory Sync" om de synchronisatie-instellingen te beheren.

    Directory-syncDirectory-sync

    4. Klik op "Add New Sync" en kies "Active Directory" in de geboden opties. 

    Nieuwe sync toevoegenNieuwe sync toevoegen

    5. Selecteer Nieuwe verbinding toevoegen en klik op Doorgaan.

    Nieuwe Active Directory toevoegenNieuwe Active Directory toevoegen

    6. Kopieer de gegenereerde integratiesleutel, geheime sleutel en API-hostnaam. 

    Details van verificatieproxyDetails van verificatieproxy

    7. Ga terug naar de configuratie van de DUO-verificatieproxy en configureer de sectie [cloud] met de nieuwe parameters die u hebt verkregen, evenals de referenties van de serviceaccount voor een Active Directory-beheerder:

    [cloud]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
service_account_username=<your domain>\<service_account_username>
service_account_password=<service_account_password>

    8. Valideer uw configuratie door de optie "valideren" te selecteren om er zeker van te zijn dat alle instellingen correct zijn.

    Configuratie van Proxy DUOConfiguratie van Proxy DUO.

    9. Na validatie slaat u uw configuratie op en start u de DUO-verificatieproxy opnieuw om wijzigingen toe te passen.

    Optie voor herstartserviceServiceoptie opnieuw starten.

    10. Terug in het DUO-beheerdashboard, voer het IP-adres van uw Active Directory-server in samen met de Base-DN voor gebruikerssynchronisatie.

    Directory-instellingenDirectory-instellingen.

    1. Selecteer de optie Laagbaar maken om het systeem te configureren voor niet-NTLMv2-verificatie.

    VerificatietypeType verificatie.

    12. Sla uw nieuwe instellingen op om er zeker van te zijn dat de configuratie wordt bijgewerkt.

    Opslaan, optieOpslaan, optie

    13. Gebruik de "testverbinding"-functie om te verifiëren dat de DUO Cloud-service kan communiceren met uw Active Directory.

    Verbindingsoptie testenVerbindingsoptie testen.

    14. Bevestig dat de status van de Active Directory wordt weergegeven als "Connected", wat wijst op een geslaagde integratie.

    Status geslaagdStatus geslaagd.

    Exporteer gebruikersaccounts vanuit Active Directory (AD) via DUO Cloud.

    1. Navigeer naar Gebruikers > Directory Sync binnen het Duo Admin Panel om de instellingen te vinden die betrekking hebben op directory synchronisatie met Active Directory.

    GebruikerslijstGebruikerslijst.

    2. Selecteer de Active Directory-configuratie die u wilt beheren.

    3. Identificeer en kies binnen de configuratie-instellingen de specifieke groepen in Active Directory die u wilt synchroniseren met de Duo Cloud. Overweeg de filteropties voor uw selectie te gebruiken.

    4. Klik op Complete Setup.

    AD SyncAD Sync.

    5. Klik op Nu synchroniseren om de synchronisatie te starten. Dit exporteert de gebruikersaccounts van de opgegeven groepen in Active Directory naar de Duo Cloud, zodat ze kunnen worden beheerd binnen de Duo Security omgeving.

    StartsynchronisatieStartsynchronisatie

    Gebruikers inschrijven in de Cisco DUO Cloud.

    Door gebruikers in te schrijven, kan identiteit worden geverifieerd via verschillende methoden, zoals code toegang, DUO push, SMS codes en tokens. 

    1. Navigeer naar de sectie Gebruikers in het Cisco Cloud-dashboard.

    2. Zoek en selecteer de account van de gebruiker die u wilt inschrijven.

    GebruikersaccountlijstGebruikersaccountlijst.

    3. Klik op de knop Email inschrijving verzenden om het inschrijvingsproces te starten. 

    Inschrijving via e-mailInschrijving via e-mail.

    4. Controleer de e-mail inbox en open de inschrijvingsuitnodiging om het authenticatieproces te voltooien.

    Voor extra details betreffende het inschrijvingsproces, gelieve te verwijzen naar deze middelen:

    Configuratievalidatieprocedure.

    Om ervoor te zorgen dat uw configuraties nauwkeurig en operationeel zijn, valideert u de volgende stappen:

    1. Start een webbrowser en voer het IP-adres van het FTD-apparaat (Firepower Threat Defence) in om toegang te krijgen tot de VPN-interface.

    VPN-aanmeldingVPN-aanmelding.

    2. Voer uw gebruikersnaam en wachtwoord in als hierom wordt gevraagd. 

    pictogram van opmerking

    Opmerking: de referenties maken deel uit van de Active Directory-accounts.

    3. Wanneer u een DUO Push-melding ontvangt, keurt u deze goed met behulp van de DUO Mobile-software om verder te gaan met het validatieproces.

    DUO PushDUO duw.

    4. Zoek en download het Cisco AnyConnect VPN-clientpakket dat geschikt is voor Windows-systemen.

    Downloaden en installerenDownloaden en installeren.

    5. Voer het gedownloade AnyConnect-installatiebestand uit en ga verder met de instructies die het installatieprogramma op uw Windows-apparaat heeft gegeven.

    6. Open de Cisco AnyConnect Secure Mobility-clientsoftware. Maak verbinding met VPN door het IP-adres van het FTD-apparaat in te voeren.

    AnyConnect-softwareAny Connect-software.

    7. Voer, wanneer hierom wordt gevraagd, uw VPN-toegangsreferenties in en autoriseer nogmaals het DUO Push-bericht om uw verbinding te verifiëren.

    DUO PushDUO duw.

    VPN-verbinding geslaagdVPN-verbinding geslaagd.

    8. Ga naar Operations > RADIUS > Livelogen om realtime-activiteit te controleren en de juiste connectiviteit te verifiëren, toegang te krijgen tot de live logs in de Cisco Identity Services Engine (ISE). 

    ISE-livelogsDe reddingsboei.

    9. Ga naar Rapporten > Verificatielogboeken om de verificatielogboeken in het DUO Admin Panel te bekijken om te bevestigen dat de verificaties zijn geslaagd.

    VerificatielogboekenVerificatielogboeken.

    Veelvoorkomende problemen.

    Werkscenario.

    Alvorens u specifieke fouten in verband met deze integratie onderzoekt, is het van cruciaal belang om het algemene werkscenario te begrijpen.

    In de ISE-livelogs kunnen we bevestigen dat ISE de RADIUS-pakketten doorstuurde naar de DUO Proxy, en zodra de gebruiker de DUO Push accepteerde, werd de RADIUS Access Accept ontvangen van de DUO Proxy Server.

    SuccesverificatieSuccesverificatie.

    Resultaat geslaagdResultaat geslaagd.

    Een pakketopname van de ISE-kant toont de volgende informatie:

    ISE-pakketvastleggingISE-pakketopname.

    Fout11368 Controleer de logbestanden op de externe RADIUS-server om de precieze reden van de fout te bepalen.

    Error 11368Error 11368.

    Probleemoplossing:

    - Controleer of de RADIUS gedeelde geheime sleutel in ISE dezelfde is als de ingestelde sleutel in het VCC.

    1. Open de ISE-GUI.

    2. Beheer > Netwerkbronnen > Netwerkapparaten.

    3. Kies de DUO Proxy Server.

    4. Klik naast het gedeelde geheim op "Weergeven" om de toets in onbewerkte tekst weer te geven. 

    5. Open de GUI van het VCC.

    6. Objecten > Objectbeheer > AAA-server > RADIUS-servergroep.

    7. Kies de ISE-server.

    8. Voer de geheime sleutel opnieuw in.

    - Controleer de Active Directory-integratie in DUO.

    1. Open de DUO-verificatieproxy Manager.

    2. Bevestig de gebruiker en het wachtwoord onder de sectie [ad_client].

    3. Klik op Valideren om te bevestigen dat de huidige referenties correct zijn.

    Fout 1353 Geen externe RADIUS-servers meer; kan geen failover uitvoeren

    Error 11353Error 11353.

    Probleemoplossing:

    - Controleer of de RADIUS gedeelde geheime sleutel in ISE dezelfde is als de ingestelde sleutel in de DUO Proxy Server.

    1. Open de ISE-GUI.

    2. Beheer > Netwerkbronnen > Netwerkapparaten.

    3. Kies de DUO Proxy Server.

    4. Klik naast het gedeelde geheim op "Weergeven" om de toets in onbewerkte tekst weer te geven. 

    5. Open de DUO-verificatieproxy Manager.

    6. Controleer de sectie [radius_server_auto] en vergelijk de gedeelde geheime sleutel.

    De RADIUS-sessies worden niet weergegeven in de live ISE-logboeken.

    Probleemoplossing:

    - Controleer de DUO-configuratie.

    1. Open de DUO-verificatieproxy Manager.

    2. Controleer het ISE-IP-adres in het gedeelte [radius_server_auto]

    - de configuratie van het VCC controleren.

    1. Open de GUI van het VCC.       

    2. Ga naar Objecten > Objectbeheer > AAA-server > RADIUS-servergroep.

    3. Kies de ISE-server.

    4. Controleer het IP-adres van de ISE.   

    • Neem een pakket op in ISE om de ontvangst van de RADIUS-pakketten te bevestigen.

    1. Ga naar Operations > Probleemoplossing > Diagnostische tools > TCP-pomp

    Aanvullende probleemoplossing.

    - Schakel de volgende componenten in het PSN in als debug:

       Beleidsmachine

       Prt-JNI

       runtime-AAA

    Voor verdere probleemoplossing in de DUO-verificatieproxy Manager, controleer dan de volgende link:

    https://help.duo.com/s/article/1126?language=en_US

    DUO Template.

    U kunt de volgende sjabloon gebruiken om de configuratie in uw DUO Proxy Server te voltooien.

    [main]    <--- OPTIONAL
http_proxy_host=<Proxy IP address or FQDN>
http_proxy_port=<Proxy port>
[radius_server_auto]
ikey=xxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxxx
radius_ip_1=<PSN IP Address>
radius_secret_1=xxxxxxxxx
failmode=safe
port=1812
client=ad_client

[ad_client]
host=<AD IP Address>
service_account_username=xxxxxxxx
service_account_password=xxxxxxxxxx
search_dn=DC=xxxxxx,DC=xxxx

[cloud]
ikey=xxxxxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxx
service_account_username=<your domain\username>
service_account_password=xxxxxxxxxxxxx

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    25-Jul-2024
    Eerste vrijgave
    1.0
    25-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Oscar de Jesus Tegoma Aguilar

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten