Cisco ISE

Configuration de Cisco ISE pour une authentification multiples facteurs

1. Ajout du serveur Duo RADIUS

  • Accédez à Administration → Network Resources → External RADIUS Servers et cliquez sur Add.
  • Remplissez le nom avec DuoRADIUS et entrez les informations suivantes:
    • IP hôte : Le nom d’hôte ou l’adresse IP de votre proxy d’authentification Duo.
    • Shared Secret : Le secret partagé utilisé dans votre configuration RADIUS du proxy d’authentification.
    • Authentication Port : 1812 (ou le port spécifié dans votre fichier authproxy.cfg).
    • Server Timeout : 65 secondes pour laisser suffisamment de temps pour terminer l’authentification Duo.
  • Cliquez sur Enregistrer pour ajouter le nouveau serveur

2. Modification de la séquence du serveur RADIUS

  • Accédez à Administration → Network Resources → RADIUS Server Sequence et cliquez sur Add.
  • Remplissez le nom avec DuoRADIUSSequence, sélectionnez le serveur DuoRADIUS nouvellement ajouté dans la sélection Disponible et cliquez sur la flèche pour ajouter votre serveur DuoRADIUS à la section Sélectionné.
  • Cochez le Local accounting pour que la journalisation se fasse sur ISE.
  • Accédez à Advanced Attribute Settings et cochez l’option « On Access-Accept, continue to Authorization Policy » pour configurer des paramètres d’autorisation ou d’autres paramètres de posture de périphérique avec des stratégies ISE.
  • Cliquez sur Enregistrer pour appliquer la modification.

3. Changement de la politique d’authentification en ajoutant une règle

  • Accédez à Policy → Policy Sets.
  • Cliquez sur le bouton (+) pour créer une nouvelle stratégie, la ligne avec « New Policy Set 1 » s’affiche.
  • A la place de « New Policy Set 1 », on met le nom de notre nouvelle stratégie par exemple « DuoVPN » et sur la colonne « Conditions », on clique le bouton (+) pour ajouter une condition RADIUS. La condition, avec le Radius : NAS-IP-Address en le faisant correspondre à l’adresse IP de ASA, permet de spécifier l’adresse IP du serveur à travers lequel les demandes d’identification RADIUS doivent être reçues. Puis cliquez sur « Use ».
  • Cliquez ensuite sur le menu déroulant de l’ensemble de règles que vous souhaitez modifier et sélectionnez DuoRADIUSSequence.
  • Cliquez sur Enregistrer pour appliquer la modification

4. Joindre ASA à ISE

  • Naviguez dans Administration > Network Resources > Network Devices. Cliquez sur Add. Fournissez le nom, l’adresse IP et le masque de sous-réseau.
  • Cochez ‘ RADIUS Authentication Settings’ pour  l’authentification avec RADIUS et fournissez la clé secrète partagée entre ASA et ISE.

5. Joindre Active Directory à ISE

  • Naviguez vers la Administration > Identity Management > External Identity Sources > Active Directory > add. Fournissez le nom de point de joindre et le nom de domaine d’Active Directory puis cliquez sur Submit.
  • Juste après l’enregistrement une boite de dialogue s’affiche demandant si on veut joindre les nœuds ISE à Active Directory, cliquez sur oui.
  • Pour vérifier si votre nœud Cisco ISE peut être connecté au domaine Active Directory, une boîte de dialogue apparaît et vous invite à saisir le nom d’utilisateur et le mot de passe Active Directory.
  • Une fois que votre serveur Cisco ISE est joint à un domaine, vous obtiendrez le message de réussite suivant:
  • Et l’état de l’Active Directory devient opérationnel :
  • Une fois que votre serveur Cisco ISE est joint au domaine Active Directory, cliquez sur l’onglet « Groups »
  • La page Groupes apparaît. Les groupes que vous configurez dans cette page seront disponibles pour une utilisation dans les conditions de stratégie.
  • Choisissez Ajouter> Ajouter un groupe pour ajouter un nouveau groupe ou choisissez Ajouter> Sélectionner des groupes dans le répertoire pour choisir un groupe existant.
    • Si vous choisissez d’ajouter des groupes, entrez un nom pour un nouveau groupe.
    •  Si vous souhaitez choisir des groupes dans Active Directory, la page « Select Directory Groups » apparaît. Vous pouvez affiner votre recherche à l’aide du filtre. Par exemple, entrez cn = users comme critère de filtrage et cliquez sur Récupérer les groupes pour affiner les groupes d’utilisateurs commençant par cn = users. Vous pouvez également saisir le caractère générique astérisque (*) pour filtrer les résultats.
  • Sélectionnez les groupes et ajoutez les groupes que vous voulez. Pour ce qui nous concerne, nous avons ajouté MFA_1 et MFA_2

6. Configuration de la stratégie d’autorisation

  • Naviguez dans « Policy » >  « Policy Sets », cliquez sur la stratégie qui avait été créé afin d’ajouter les stratégies d’autorisation, la page suivante s’affiche :
  • On clique sur « Authorization Policy », on trouve une règle par défaut « Default » que l’on laisse inchangée puis on a ajouté  3 règles afin d’établir nos restrictions.
    • « RuleVPN1 » autorise l’accès pour les connections VPN à travers AnyConnect.
    • « RuleVPN2 » autorise l’accès pour les utilisateurs appartenant au groupe MFA_1 de Active Directory
    • « RuleVPN3 » bloque tout utilisateur appartenant au groupe MFA_2 de Active Directory

TESTS

Lorsque l’on teste la connexion, Cisco ISE reçoit la demande d’authentification et le transfére à l’authentificateur principal (Duo Proxy). Pour vérifier cela, il faut consulter les Logs de cisco ISE.

  • Pour voir les logs de ISE, on navigue dans Operations > RADIUS > Live Logs , les logs s’affichent.

  • Pour voir les détails, on clique dans  » Details  » pour plus d’informations par rapport à la connexion