Configuration de Cisco ISE pour une authentification multiples facteurs
1. Ajout du serveur Duo RADIUS
- Accédez à Administration → Network Resources → External RADIUS Servers et cliquez sur Add.
- Remplissez le nom avec DuoRADIUS et entrez les informations suivantes:
- IP hôte : Le nom d’hôte ou l’adresse IP de votre proxy d’authentification Duo.
- Shared Secret : Le secret partagé utilisé dans votre configuration RADIUS du proxy d’authentification.
- Authentication Port : 1812 (ou le port spécifié dans votre fichier authproxy.cfg).
- Server Timeout : 65 secondes pour laisser suffisamment de temps pour terminer l’authentification Duo.

- Cliquez sur Enregistrer pour ajouter le nouveau serveur
2. Modification de la séquence du serveur RADIUS
- Accédez à Administration → Network Resources → RADIUS Server Sequence et cliquez sur Add.
- Remplissez le nom avec DuoRADIUSSequence, sélectionnez le serveur DuoRADIUS nouvellement ajouté dans la sélection Disponible et cliquez sur la flèche pour ajouter votre serveur DuoRADIUS à la section Sélectionné.
- Cochez le Local accounting pour que la journalisation se fasse sur ISE.

- Accédez à Advanced Attribute Settings et cochez l’option « On Access-Accept, continue to Authorization Policy » pour configurer des paramètres d’autorisation ou d’autres paramètres de posture de périphérique avec des stratégies ISE.

- Cliquez sur Enregistrer pour appliquer la modification.
3. Changement de la politique d’authentification en ajoutant une règle
- Accédez à Policy → Policy Sets.
- Cliquez sur le bouton (+) pour créer une nouvelle stratégie, la ligne avec « New Policy Set 1 » s’affiche.

- A la place de « New Policy Set 1 », on met le nom de notre nouvelle stratégie par exemple « DuoVPN » et sur la colonne « Conditions », on clique le bouton (+) pour ajouter une condition RADIUS. La condition, avec le Radius : NAS-IP-Address en le faisant correspondre à l’adresse IP de ASA, permet de spécifier l’adresse IP du serveur à travers lequel les demandes d’identification RADIUS doivent être reçues. Puis cliquez sur « Use ».

- Cliquez ensuite sur le menu déroulant de l’ensemble de règles que vous souhaitez modifier et sélectionnez DuoRADIUSSequence.

- Cliquez sur Enregistrer pour appliquer la modification
4. Joindre ASA à ISE
- Naviguez dans Administration > Network Resources > Network Devices. Cliquez sur Add. Fournissez le nom, l’adresse IP et le masque de sous-réseau.

- Cochez ‘ RADIUS Authentication Settings’ pour l’authentification avec RADIUS et fournissez la clé secrète partagée entre ASA et ISE.

5. Joindre Active Directory à ISE
- Naviguez vers la Administration > Identity Management > External Identity Sources > Active Directory > add. Fournissez le nom de point de joindre et le nom de domaine d’Active Directory puis cliquez sur Submit.

- Juste après l’enregistrement une boite de dialogue s’affiche demandant si on veut joindre les nœuds ISE à Active Directory, cliquez sur oui.

- Pour vérifier si votre nœud Cisco ISE peut être connecté au domaine Active Directory, une boîte de dialogue apparaît et vous invite à saisir le nom d’utilisateur et le mot de passe Active Directory.

- Une fois que votre serveur Cisco ISE est joint à un domaine, vous obtiendrez le message de réussite suivant:

- Et l’état de l’Active Directory devient opérationnel :

- Une fois que votre serveur Cisco ISE est joint au domaine Active Directory, cliquez sur l’onglet « Groups »
- La page Groupes apparaît. Les groupes que vous configurez dans cette page seront disponibles pour une utilisation dans les conditions de stratégie.
- Choisissez Ajouter> Ajouter un groupe pour ajouter un nouveau groupe ou choisissez Ajouter> Sélectionner des groupes dans le répertoire pour choisir un groupe existant.
- Si vous choisissez d’ajouter des groupes, entrez un nom pour un nouveau groupe.
- Si vous souhaitez choisir des groupes dans Active Directory, la page « Select Directory Groups » apparaît. Vous pouvez affiner votre recherche à l’aide du filtre. Par exemple, entrez cn = users comme critère de filtrage et cliquez sur Récupérer les groupes pour affiner les groupes d’utilisateurs commençant par cn = users. Vous pouvez également saisir le caractère générique astérisque (*) pour filtrer les résultats.

- Sélectionnez les groupes et ajoutez les groupes que vous voulez. Pour ce qui nous concerne, nous avons ajouté MFA_1 et MFA_2

6. Configuration de la stratégie d’autorisation
- Naviguez dans « Policy » > « Policy Sets », cliquez sur la stratégie qui avait été créé afin d’ajouter les stratégies d’autorisation, la page suivante s’affiche :

- On clique sur « Authorization Policy », on trouve une règle par défaut « Default » que l’on laisse inchangée puis on a ajouté 3 règles afin d’établir nos restrictions.
- « RuleVPN1 » autorise l’accès pour les connections VPN à travers AnyConnect.
- « RuleVPN2 » autorise l’accès pour les utilisateurs appartenant au groupe MFA_1 de Active Directory
- « RuleVPN3 » bloque tout utilisateur appartenant au groupe MFA_2 de Active Directory

TESTS
Lorsque l’on teste la connexion, Cisco ISE reçoit la demande d’authentification et le transfére à l’authentificateur principal (Duo Proxy). Pour vérifier cela, il faut consulter les Logs de cisco ISE.
- Pour voir les logs de ISE, on navigue dans Operations > RADIUS > Live Logs , les logs s’affichent.
- Pour voir les détails, on clique dans » Details » pour plus d’informations par rapport à la connexion