Auf der Verwaltungswebseiten von duo.com, wählt für Protected Application den RADIUS Server (nicht den Sophos UTM, einfach nur RADIUS)
DUO Proxy Einrichten
-------------------------------------------------------------------------------------------------------------------
Installiert diesen auf einem Server gemäss der Anleitung von duo (https://duo.com/docs/authproxy_reference )
mit folgenden Einstellungen:
Wichtig: Editiert die .cfg NICHT mit dem Windows Editor, sondern mit Notepad++
[ad_client]
; The hostname or IP address of your domain controller
host=X.X.X.X
; Username of the account that will read from your Active Directory database
service_account_username=duoservice
; Password corresponding to service_account_username
service_account_password=XXXX
; The LDAP distinguished name of an AD or OU containing all of the users you
; wish to permit to log in
search_dn=DC=intern,DC=contoso,DC=com
; CUSTOM COMMANDS
host_2=X.X.X.X
security_group_dn=CN=SSLVPN,OU=Groups,OU=contoso,DC=intern,DC=contoso,DC=com
[radius_server_auto]
; Your Duo integration key
ikey=XXXXXXXXXXXXXXXXXXXX
; Your Duo secret key
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
; Your Duo API hostname (e.g. "api-XXXX.duosecurity.com")
api_host=api-xxxxxxxxxx.duosecurity.com
; The IP address or IP range of the device(s) or application(s) that will be
; contacting the authentication proxy via RADIUS
radius_ip_1=X.X.X.X <- IP der Sophos
; A shared secret that you'll enter both here and in the configuration of the
; device(s) or application(s) with the corresponding radius_ip_x value. We
; recommend as strong a password as possible. (max 128 chars)
radius_secret_1=YYYYYYYYYYYYYYYY
; Protocol followed in the event that Duo services are down.
; Safe: Authentication permitted if primary authentication succeeds
; Secure: All authentication attempts will be rejected
failmode=safe
; Mechanism the Auth Proxy should use to perform primary auth. Should correspond
; with a "client" section elsewhere in this configuration file
client=ad_client
; Port on which to listen for incoming RADIUS Access Requests
port=1812
; CUSTOM COMMANDS
api_timeout=60
pass_through_all=true
Nachdem Ihr die .cfg geändert habt, müsst Ihr den Dienst neu starten
RADIUS Server Einrichten
-------------------------------------------------------------------------------------------------------------------
Configure -> Authentication
Server
Hier neuer Server hinzufügen:
Server Type: RADIUS Server
Server Name: DUO_RADIUS
Server IP: Die IP wo der DUO Proxy läuft
Port: 1812
Shared Secret: YYYYYYYYYYYYYYYY von der .cfg des DUO Proxy
Group Name Attribute: Filter-Id
Via Test Connection kann es Grundlegend mal getestet werden
RADIUS Server aktivieren
-------------------------------------------------------------------------------------------------------------------
Configure -> Authentication
Services
Hier könnt Ihr nun den DUO_RADIUS auf die gewünschten Services als Authentifizierung einstellen.
Z.B. für Firewall Authentication Method, VPN IPsec, SSL VPN
Wichtig: Bei der Firewall Autnetication Method, wählt hier die Gruppe wo der User standardmässig drinn erstellt werden soll
Keine Kommentare:
Kommentar veröffentlichen