Configurar a autenticação de certificado & amp; DUO SAML Authentication
Contents
Introdução
Este documento descreve um exemplo da implementação da autenticação baseada em certificado e da autenticação SAML dupla.
Pré-requisitos
As ferramentas e dispositivos usados no guia são:
- Defesa contra ameaças (FTD) do Cisco Firepower
- Firepower Management Center (FMC)
- Autoridade de Certificação Interna (CA)
- Conta Premier do Cisco DUO
- Proxy de autenticação Cisco DUO
- Cisco Secure Client (CSC)
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- VPN básica,
- SSL/TLS
- Infraestrutura de Chave Pública
- Experiência com o FMC
- Cisco Secure Client
- Código FTD 7.2.0 ou superior
- Proxy de autenticação Cisco DUO
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- FTD da Cisco (7.3.1)
- FMC da Cisco (7.3.1)
- Cisco Secure Client (5.0.02075)
- Proxy de autenticação Cisco DUO (6.0.1)
- Mac OS (13.4.1)
- Diretório ativo
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar Etapas no DUO
Esta seção descreve as etapas para configurar o Logon Único do Cisco DUO (SSO). Antes de começar, certifique-se de que o proxy de autenticação esteja implementado.
Aviso: se um proxy de autenticação não tiver sido implementado, este link terá o guia para esta tarefa. Guia de Proxy de Autenticação DUO
Criar uma Política de Proteção de Aplicativos
Etapa 1. Acesse o painel de administração através deste link Cisco Duo
Página inicial do Cisco DUO
Etapa 2. Navegue até Dashboard > Aplicativos > Proteger um aplicativo.
Na barra de pesquisa, digite "Cisco Firepower Threat Defense VPN" e selecione "Protect".
Proteger uma captura de tela do aplicativo
Selecione a opção somente com o Tipo de proteção "2FA com SSO hospedado por Duo".
Etapa 3: Copie as informações deste URL em Metadados.
- ID da entidade do provedor de identidade
- URL SSO
- URL de logoff
Exemplo de informações para copiar
Nota: Os links foram omitidos da captura de tela.
Etapa 4. Selecione "Download certificate" para fazer download do Identity Provider Certificate em Downloads.
Etapa 5. Preencha as informações do provedor de serviços
URL do Cisco Firepower Base - O FQDN usado para acessar o FTD
Nome Do Perfil De Conexão- O Nome Do Grupo De Túneis
Criar Política de Aplicativo
Etapa 1: Para criar uma Diretiva de aplicativo em Diretiva Selecione "Aplicar uma diretiva a todos os usuários" e selecione "Ou criar uma nova diretiva", como mostrado na imagem.
Exemplo de criação de uma política de aplicativo
Exemplo de criação de uma política de aplicativo
Etapa 2. Em Policy name, insira o nome desejado, selecione "Authentication policy" em Users e Select "Aplicar 2FA." Em seguida, salve com "Criar política."
Exemplo de criação de uma política de aplicativo
Etapa 3. Aplique a política com "Apply Policy" na próxima janela. em seguida, role para a parte inferior da página e selecione "Save" para concluir as configurações do DUO
Passos de configuração para o FMC
Implantar Certificado de Identidade no FTD
Esta seção descreve a configuração e disponibilização do certificado de identidade para o FTD necessário para a autenticação do certificado. Antes de começar, assegure-se de implantar todas as configurações.
Etapa 1. Navegue até Dispositivos > Certificado e escolha Adicionar, como mostrado na imagem.
Captura de tela de dispositivos/certificados
Etapa 2: selecione o dispositivo FTD no menu suspenso de dispositivos. Clique no ícone + para adicionar um novo método de registro de certificado.
Captura de tela de Adicionar novo certificado
Etapa 3: Escolha a opção que é o método preferido para obter certificados no ambiente através do "Tipo de inscrição", como mostrado na imagem.
Captura de tela da nova página de registro de certificado
Dica: as opções disponíveis são: Certificado Autoassinado - Gerar um novo certificado localmente, SCEP - Usar o Simple Certificate Enrollment Protocol para obter um certificado de uma CA, Manual - Instalar manualmente o certificado Raiz e Identidade, PKCS12 - Carregar o pacote de certificados criptografados com raiz, identidade e chave privada.
Implantar certificado IDP no FTD
Esta seção descreve a configuração e distribuição do certificado IDP para o FTD. Antes de começar, assegure-se de implantar todas as configurações.
Etapa 1: Navegue até Devices > Certificate e escolha Add."
Etapa 2: selecione o dispositivo FTD no menu suspenso de dispositivos. Clique no ícone + para adicionar um novo método de registro de certificado.
Passo 3: Na janela Add Cert Enrollment, insira as informações necessárias, conforme mostrado na imagem, depois "Save", conforme mostrado na imagem.
- Nome: Nome do objeto
- Tipo de inscrição: Manual
- Caixa de seleção ativada: CA apenas
- Certificado CA: formato Pem do certificado
Exemplo de criação de um objeto de registro de certificado
Cuidado: "Ignorar a verificação do sinalizador de CA em restrições básicas do Certificado de CA" pode ser usado se necessário. Use essa opção com cuidado.
Etapa 4: selecione o objeto de registro de certificado recém-criado em "Cert Enrollment*:" e, em seguida, selecione "Add" conforme mostrado na imagem.
Captura de tela do objeto e dispositivo de registro de certificado adicionado
Observação: depois de adicionado, o certificado é implantado imediatamente.
Criando o Objeto SSO SAML
Esta seção descreve as etapas para configurar o SAML SSO via FMC. Antes de começar, assegure-se de implantar todas as configurações.
Etapa 1. Navegue até Objects > AAA Server > Single Sign-on Server e selecione "Add Single Sign-on Server".
exemplo de criação de um novo objeto SSO
Etapa 2. Insira as informações necessárias em "Criar uma política de proteção de aplicativos"
". Para continuar depois de concluído, selecione "Salvar".
- Nome*: Nome do Objeto
- ID da Entidade do Provedor de Identidade*: ID da Entidade da Etapa 3
- URL SSO*: URL de Entrada copiada da Etapa 3
- URL de logoff: URL de saída copiada da Etapa 3
- URL base: use o mesmo FQDN como "URL base do Cisco Firepower" na Etapa 5
- Certificado do provedor de identidade*: certificado IDP implantado
- Certificado do provedor de serviços: certificado na interface externa do FTD
Exemplo do novo objeto SSO.
Observação: os links ID da entidade, URL do SSO e URL de logoff foram omitidos da captura de tela
Criar Configuração de Rede Virtual Privada (RAVPN) de Acesso Remoto
Esta seção descreve as etapas para configurar o RAVPN usando o assistente.
Etapa 1. Navegue até Devices > Remote Access e selecione "Add."
Etapa 2. No assistente, insira o nome do novo Assistente de política RAVPN, selecione SSL em Protocolos VPN: Adicione os Dispositivos de destino, como mostrado na imagem. Selecione "Next" quando terminar.
Etapa 1 do assistente de RAVPN
Etapa 2. Para o perfil Connect, defina as opções (mostradas aqui): Selecione "Next" (Avançar) depois de concluir.
- Nome do perfil de conexão: Use o nome do grupo de túneis na Etapa 5 de "Criar uma política de proteção de aplicativo"
Autenticação, Autorização e Tarifação (AAA - Authentication, Authorization & Accounting):
- Certificado do cliente e SAML
- Servidor de Autenticação:* Selecione o objeto SSO criado durante a "Criação do Objeto SSO SAML".
Atribuição de endereço de cliente:
- Usar servidor AAA (território ou RADIUS somente)- Radius ou LDAP
- Usar servidores DHCP - Servidor DHCP
- Usar pools de endereços IP- pool local no FTD
Etapa 2 do assistente de RAVPN
Etapa 3. Selecione "+" para carregar uma imagem de implantação na Web do Cisco Secure Client a ser implantado. Em seguida, marque a caixa de seleção da imagem do CSC a ser implantada. Conforme mostrado na imagem. Selecione "Next" quando terminar.
Etapa 3 Assistente de RAVPN
Etapa 4. Defina estes objetos (conforme ilustrado na imagem): Selecione "Next" (Avançar) quando terminar.
Grupo de interface/Zona de segurança:*: Interface externa
"Inscrição de certificado:*": Certificado de identidade criado durante a seção "Implantar certificado de identidade no FTD" deste guia
Etapa 4 do assistente de RAVPN
Etapa 6. Summary
Verifique todas as informações. Se tudo estiver correto, continue com "Concluir".
Página Resumo
Passo 7. Implante as configurações recém-adicionadas.
Verificar
Esta seção descreve a verificação de uma tentativa de conexão bem-sucedida.
Abra o Cisco Secure Client, insira o FQDN do FTD e conecte-se.
Insira as credenciais na página SSO.
Página SSO via Cisco Secure Client
Aceite o envio DUO para o dispositivo registrado.
Push DUO
Conexão bem-sucedida.
Conectado ao FTD
Verifique a conexão no FTD com o comando: show vpn-sessiondb detail anyconnect
Algumas informações foram omitidas do exemplo de saída
Troubleshooting
Esses são possíveis problemas que surgem após a implementação.
Problema 1: falha na autenticação do certificado.
Assegurar que o certificado raiz está instalado no FTD;
use estas depurações:
debug crypto ca 14
debug aaa shim 128
debug aaa common 128
problema 2: falhas de SAML
Essas depurações podem ser ativadas para solucionar problemas:
debug aaa shim 128
debug aaa common 128
debug webvpn anyconnect 128
debug webvpn saml 255
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
21-Jul-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)