Cisco AnyConnect klient a overovanie používateľov prostredníctvom MFA Cisco Duo
Overovanie vzdialene pristupujúcich používateľov cez AnyConnect SSL VPN klienta systémom Cisco Duo je možné realizovať viacerými metódami:
- SAML autentifikácia – autentifikácia poskytujúca Duo Prompt interakciu – používateľ si môže zvoliť metódu autentifikácie. Primárna autentifikácia a Duo MFA je vykonávaná cez IdP (Identity provider). Vo funkcií IdP môže byť použitý Duo Access Gateway.
- autentifikácia vykonávaná prostredníctvom RADIUS protokolu s použitím Duo Authentification Proxy servera. Duo Authentication Proxy server zabezpečuje komunikáciu s primárnou databázou používateľov a aj komunikáciu s Duo cloudom. Proxy server je potrebné nainštalovať na Windows alebo Linux systém.
- autentifikácia LDAPS protokolom – Pre overovanie používateľov sa používa samostatný primárny AAA server (napríklad Radius server, AD) a ako sekundárny server sa používa Duo cloud. ASA firewall komunikuje priamo s Duo cloudom protokolom LDAPS - port 636.
Tento článok ďalej stručné popisuje autentifikáciu použitím LDAPS metódy.
V prípade LDAPS metódy ASA firewall komunikuje priamo s Duo cloudom protokolom LDAPS – port 636. Podporované autentifikačné metódy sú Duo Push, Phone Call a Passcode.
Aby vedel Cisco ASA firewall komunikovať s Duo cloudom, je potrebné v GUI Cisco Duo vybrať „Cisco ASA SSL VPN“ aplikáciu a informácie zobrazené v „Details“ použiť pri konfigurácii AAA LDAP servera na ASA firewalle. Následne tento LDAP AAA server použijete pri konfigurácii sekundárnej autentifikácie v AnyConnect Connection Profile.
Pri použití AnyConnect klienta v prihlasovacom okne na pozície „Username“ a „Password“ zadáte štandardné prihlasovacie údaje (užívateľské konto v AD, lokálnej databáze a podobne) a do položky „Second Password“ zadáte buď kľúčové slovo „push“ v prípade použitia Duo Push metódy, „phone“ pre Phone Call metódu alebo jednorázový Passcode, ktorý získate cez mobilnú aplikáciu Duo.
Používateľ musí mať nakonfigurované konto v primárnej databáze (napríklad on-premise Microsoft AD) a v cloudovej aplikácii Duo. V prípade použitia „push“ metódy sa Vam na mobile v aplikácii Duo zobrazí obrazovka pre potvrdenie prístupu:
Nabudúce sa pozrieme na autentifikáciu použitím SAML.
Podrobnejšie informácie nájdete na: https://duo.com/docs/cisco#cisco-asa-with-anyconnect