Freitag, 6. Juli 2018

[SOPHOS XG][DUO] DUO RADIUS Server für Authentifizierungen z.B. SSL VPN

Auf der Verwaltungswebseiten von duo.com, wählt für Protected Application den RADIUS Server (nicht den Sophos UTM, einfach nur RADIUS)



DUO Proxy Einrichten
-------------------------------------------------------------------------------------------------------------------

Installiert diesen auf einem Server gemäss der Anleitung von duo (https://duo.com/docs/authproxy_reference )


mit folgenden Einstellungen:

Wichtig: Editiert die .cfg NICHT mit dem Windows Editor, sondern mit Notepad++

[ad_client]
; The hostname or IP address of your domain controller
host=X.X.X.X
; Username of the account that will read from your Active Directory database
service_account_username=duoservice
; Password corresponding to service_account_username
service_account_password=XXXX
; The LDAP distinguished name of an AD or OU containing all of the users you
; wish to permit to log in
search_dn=DC=intern,DC=contoso,DC=com

; CUSTOM COMMANDS
host_2=X.X.X.X
security_group_dn=CN=SSLVPN,OU=Groups,OU=contoso,DC=intern,DC=contoso,DC=com

[radius_server_auto]
; Your Duo integration key
ikey=XXXXXXXXXXXXXXXXXXXX
; Your Duo secret key
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
; Your Duo API hostname (e.g. "api-XXXX.duosecurity.com")
api_host=api-xxxxxxxxxx.duosecurity.com
; The IP address or IP range of the device(s) or application(s) that will be
; contacting the authentication proxy via RADIUS
radius_ip_1=X.X.X.X     <- IP der Sophos
; A shared secret that you'll enter both here and in the configuration of the
; device(s) or application(s) with the corresponding radius_ip_x value. We
; recommend as strong a password as possible. (max 128 chars)
radius_secret_1=YYYYYYYYYYYYYYYY
; Protocol followed in the event that Duo services are down.
; Safe: Authentication permitted if primary authentication succeeds
; Secure: All authentication attempts will be rejected
failmode=safe
; Mechanism the Auth Proxy should use to perform primary auth. Should correspond
; with a "client" section elsewhere in this configuration file
client=ad_client
; Port on which to listen for incoming RADIUS Access Requests
port=1812

; CUSTOM COMMANDS
api_timeout=60
pass_through_all=true

Nachdem Ihr die .cfg geändert habt, müsst Ihr den Dienst neu starten


RADIUS Server Einrichten
-------------------------------------------------------------------------------------------------------------------
Configure -> Authentication
Server

Hier neuer Server hinzufügen:
Server Type: RADIUS Server

Server Name: DUO_RADIUS
Server IP: Die IP wo der DUO Proxy läuft

Port: 1812

Shared Secret: YYYYYYYYYYYYYYYY von der .cfg des DUO Proxy

Group Name Attribute: Filter-Id

Via Test Connection kann es Grundlegend mal getestet werden


RADIUS Server aktivieren
-------------------------------------------------------------------------------------------------------------------
Configure -> Authentication
Services

Hier könnt Ihr nun den DUO_RADIUS auf die gewünschten Services als Authentifizierung einstellen.

Z.B. für Firewall Authentication Method, VPN IPsec, SSL VPN

Wichtig: Bei der Firewall Autnetication Method, wählt hier die Gruppe wo der User standardmässig drinn erstellt werden soll

Keine Kommentare:

Kommentar veröffentlichen