Cisco AnyConnect klient a overovanie používateľov prostredníctvom MFA Cisco Duo

Miloš Kamenický

Team Leader Borderless

milos.kamenicky@alef.com

Overovanie vzdialene pristupujúcich používateľov cez AnyConnect SSL VPN klienta systémom Cisco Duo je možné realizovať viacerými metódami:

  • SAML autentifikácia – autentifikácia poskytujúca Duo Prompt interakciu – používateľ si môže zvoliť metódu autentifikácie. Primárna autentifikácia a Duo MFA je vykonávaná cez IdP (Identity provider). Vo funkcií IdP môže byť použitý Duo Access Gateway.
  • autentifikácia vykonávaná prostredníctvom RADIUS protokolu s použitím Duo Authentification Proxy servera. Duo Authentication Proxy server zabezpečuje komunikáciu s primárnou databázou používateľov a aj komunikáciu s Duo cloudom. Proxy server je potrebné nainštalovať na Windows alebo Linux systém.
  • autentifikácia LDAPS protokolom – Pre overovanie používateľov sa používa samostatný primárny AAA server (napríklad Radius server, AD) a ako sekundárny server sa používa Duo cloud. ASA firewall komunikuje priamo s Duo cloudom protokolom LDAPS - port 636.

Tento článok ďalej stručné popisuje autentifikáciu použitím LDAPS metódy.

V prípade LDAPS metódy ASA firewall komunikuje priamo s Duo cloudom protokolom LDAPS – port 636. Podporované autentifikačné metódy sú Duo Push, Phone Call a Passcode.

Aby vedel Cisco ASA firewall komunikovať s Duo cloudom, je potrebné v GUI Cisco Duo vybrať  „Cisco ASA SSL VPN“ aplikáciu a informácie zobrazené v „Details“ použiť pri konfigurácii AAA LDAP servera na ASA firewalle. Následne tento LDAP AAA server použijete pri konfigurácii sekundárnej autentifikácie v AnyConnect Connection Profile.

Pri použití AnyConnect klienta v prihlasovacom okne na pozície „Username“ a „Password“ zadáte štandardné prihlasovacie údaje (užívateľské konto v AD, lokálnej databáze a podobne) a do položky „Second Password“ zadáte buď kľúčové slovo „push“ v prípade použitia Duo Push metódy, „phone“ pre Phone Call metódu alebo jednorázový Passcode, ktorý získate cez mobilnú aplikáciu Duo. 

 

 

 

 

Používateľ musí mať nakonfigurované konto v primárnej databáze (napríklad on-premise Microsoft AD) a v cloudovej aplikácii Duo. V prípade použitia „push“ metódy sa Vam na mobile v aplikácii Duo zobrazí obrazovka pre potvrdenie prístupu:

Nabudúce sa pozrieme na autentifikáciu použitím SAML.

Podrobnejšie informácie nájdete na: https://duo.com/docs/cisco#cisco-asa-with-anyconnect

Radi Vás u nás privítame a ponúkame možnosť vykonať PoC (Proof of concept) testovanie tejto novej architektúry.