Wie kann ich Duo mit meinem AWS Managed Microsoft AD verwenden, um Endbenutzern, die sich mit einem Client-VPN-Endpunkt verbinden, eine Multi-Faktor-Authentifizierung bereitzustellen?

Lesedauer: 7 Minute
0

Ich möchte Duo mit meinem AWS Directory Service für Microsoft Active Directory verwenden. Ich möchte eine Multi-Faktor-Authentifizierung (MFA) für Endbenutzer bereitstellen, die sich mit einem AWS-Client-VPN-Endpunkt verbinden.

Kurzbeschreibung

Client VPN unterstützt die folgenden Arten der Endbenutzer-Authentifizierung:

  • Gegenseitige Authentifizierung
  • Active-Directory-Authentifizierung
  • Duale Authentifizierung (Gegenseitige Authentifizierung und Active-Directory-Authentifizierung)

Die neuesten Versionen von Duo nutzen Push-Benachrichtigungen, die als Zwei-Faktor-Authentifizierung an Endbenutzer gesendet werden. Bei älteren Duo-Implementierungen müssen Endbenutzer die mobile Duo-App verwenden, um einen Code für die Multi-Faktor-Authentifizierung (MFA) zu generieren. Anschließend lässt sich dieser Code mit Client VPN verwenden.

In diesem Szenario aktivieren Sie den MFA-Dienst im Active Directory, nicht direkt in Client VPN.

**Hinweis:**Ihr Active-Directory-Typ muss MFA unterstützen. Sowohl neue als auch bestehende Client VPNs unterstützen die MFA-Funktionalität.

Lösung

Erstellen und Konfigurieren eines AWS Managed Microsoft AD

  1. Erstellen Sie ein AWS-Managed-Microsoft-AD-Verzeichnis.

  2. Verbinden Sie eine Windows-Instance in der Amazon Elastic Compute Cloud (Amazon EC2) mit dem AWS-Managed-Microsoft-AD-Verzeichnis. Diese Instance installiert Dienste und verwaltet Benutzer und Gruppen im Active Directory. Die Instance muss mit dem Active Directory verknüpft sein. Fügen Sie eine Rolle unter AWS Identity and Access Management (IAM) hinzu, der die Richtlinie „AmazonEC2RoleforSSM“ zugeordnet ist.

  3. Führen Sie folgenden Befehl aus, um sich bei der Amazon-EC2-Instance anzumelden.

    Username: Admin@ad_DNS_name
    Password: <Your Admin password>

    **Hinweis:**Ersetzen Sie Ihr Admin-Passwort durch das Admin-Passwort, das Sie für das Active Directory erstellt haben.

  4. Verwenden Sie im Admin-Modus PowerShell, um die folgenden Dienste zu installieren:

    install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false
  5. Erstellen Sie Active-Directory-Benutzer und Active-Directory-Gruppen und fügen Sie die Benutzer den entsprechenden Gruppen hinzu.
    **Hinweis:**Diese Active-Directory-Benutzer sind dieselben Endbenutzer, die eine Verbindung zum Client-VPN-Endpunkt herstellen werden.

  6. Führen Sie folgenden Befehl aus, um die SID für Ihre Active-Directory-Gruppen abzurufen. Ersetzen Sie Ihr-AD-Group-Name durch den Namen Ihrer Active-Directory-Gruppe.

    Get-ADGroup -Identity <Your-AD-group-name>

**Hinweis:**Sie benötigen die SID, um die Active-Directory-Benutzer dieser Gruppe zu autorisieren, wenn Sie die Client-VPN-Autorisierungsregeln konfigurieren.

Installieren und Konfigurieren von Duo

  1. Registrieren Sie sich (Duo-Website) für Duo oder melden Sie sich an.
  2. Installieren Sie die Duo-Anwendung auf Ihrem Mobilgerät. Folgen Sie den Anweisungen, um Ihr Duo-Konto zu authentifizieren.
  3. Wählen Sie in Ihrem Duo-Webkonto im Navigationsbereich auf der linken Seite Anträge aus.
  4. Geben Sie im Suchfeld RADIUS ein und wählen Sie Schützen.
  5. Wählen Sie im Navigationsbereich Benutzer und dann Fügen Benutzer hinzu. Geben Sie unter Benutzername die Namen Ihrer Endbenutzer ein. Die Namen müssen mit den Namen der Active-Directory-Benutzer übereinstimmen. Die Namen müssen zugleich mit den Benutzernamen übereinstimmen, mit denen Ihre Endbenutzer ihre Verbindung zum Client-VPN-Endpunkt authentifizieren
  6. Wählen Sie Ihre Benutzer einzeln aus und fügen Sie ihre Telefonnummern hinzu. Endbenutzer erhalten ihre MFA-Codes über die Nummer, die Sie hier eingeben.
  7. Wählen Sie für jeden Benutzer Activate Duo Mobile und dann Generieren Duo Mobile-Aktivierungscode. Es gibt zwei Möglichkeiten, Benutzer über ihren Aktivierungslink zu informieren. Sie können Senden Anweisungen per SMS wählen, um den Aktivierungslink per SMS an jeden Endbenutzer zu senden. Oder Sie überspringen diesen Schritt mit Skip this step. Kopieren Sie in diesem Fall die Aktivierungslinks und senden Sie sie manuell an jeden Endbenutzer.
  8. Starten Sie eine EC2-Windows-Instance. Verwenden Sie diese Instance, um die Duo-Radius-Anwendung zu konfigurieren und zu verwalten. Die Instance muss mit Active Directory verknüpft sein. Sie muss außerdem über die richtige IAM-Rolle und Internetzugang verfügen. Überprüfen der Sicherheitsgruppen, der Netzwerk-Zugriffskontrollliste und der Routing-Tabelle der Instance
  9. Melden Sie sich bei der EC2-Instance an, die die Duo-Radius-Anwendung verwaltet. Installieren Sie dann den Authentifizierungsproxy für Windows (Duo-Website).
  10. Navigieren Sie zur Konfigurationsdatei „authproxy.cfg“ unter C:\Programme (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg.
  11. Bearbeiten Sie die Konfigurationsdatei. Die Datei kann zum Beispiel wie folgt aussehen:
[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

Führen Sie die folgenden Schritte aus, um die Werte für ikey (Integrationsschlüssel), skey (geheimer Schlüssel) und api_host (API-Hostname Ihres Duo-Kontos) zu finden:

  • Melden Sie sich auf der Duo-Website bei Ihrem Duo-Webkonto an.
  • Wählen Sie Dashboard, Applications, Radius.
  • Halten Sie die Werte unter Details bereit.

Führen Sie die folgenden Schritte aus, um die Werte für radius_ip_1 und radius_ip_2 zu ermitteln:

  • Melden Sie sich bei der AWS-Managementkonsole an.
  • Wählen Sie Verzeichnisdienst und dann Verzeichnisse.
  • Wählen Sie Ihr Active Directory aus.
  • Unter Details finden Sie die Einträge address_ip#1 und address_ip#2 im Abschnitt DNS-Adresse.
    Hinweis: Wenn Sie AWS AD\ _connector verwenden, sind address_ip#1 und address_ip#2 die IPs Ihres AD_connector.

Führen Sie optional die folgenden Schritte durch:

  • Richten Sie Ihren radius_secret_key ein.
  • Ändern Sie den Port.

Ändern der Konfiguration der Sicherheitsgruppe

  1. Melden Sie sich bei der AWS-Managementkonsole an.
  2. Wählen Sie Sicherheitsgruppen.
  3. Wählen Sie die Sicherheitsgruppe für die Verzeichniscontroller aus.
  4. Bearbeiten Sie die Regel für ausgehenden Datenverkehr für die Sicherheitsgruppe des Active Directory. Erlauben Sie mit der Regel UDP 1812 (oder den Radius-Serviceport) für die Ziel-IP-Adresse (private IP) Ihres Radius-Servers. Wenn Ihr Anwendungsfall dies zulässt, können Sie auch sämtlichen Datenverkehr erlauben.

Sicherstellen, dass der Duo-Authentifizierungsdienst läuft

  1. Melden Sie sich bei der Radius-EC2-Windows-Instance an.
  2. Suchen Sie unter Dienste nach dem Duo Security Authentifizierungs-Proxy-Dienst. Wenn sich der Dienst nicht im Status Ausgeführte befindet, wählen Sie Starten den Dienst aus.

Aktivieren von MFA auf Ihrem AWS Managed Microsoft AD

  1. Melden Sie sich bei der AWS-Managementkonsole an.
  2. Wählen Sie Verzeichnisdienst und dann Verzeichnisse.
  3. Wählen Sie Ihr Active Directory aus.
  4. Wählen Sie unter Netzwerk & Sicherheit die Option Multi-Faktor-Authentifizierung aus. Wählen Sie dann Aktionen und Aktivieren.
  5. Geben Sie folgende Informationen ein:
    Geben Sie für DNS-Name oder IP-Adressen des RADIUS-Servers die private IP-Adresse der EC2-Windows-Instance ein.
    Geben Sie für Hafen den Port ein, der in Ihrer Datei „authproxy.cfg“ angegeben ist.
    Geben Sie für Gemeinsamer geheimer Code den Wert radius_secret_key aus Ihrer Datei „authproxy.cfg“ ein.
    Wählen Sie für Protokoll die Option PAP aus.
    Geben Sie einen Wert für Server-Zeitbeschränkung ein.
    Geben Sie einen Wert für Maximal zulässige Wiederholungen für RADIUS-Anforderungen ein.

Erstellen des Client-VPN-Endpunkts

  1. Nachdem AWS Managed Microsoft AD und MFA eingerichtet sind, erstellen Sie den Client-VPN-Endpunkt. Verwenden Sie das Active Directory, für das die MFA aktiviert ist.
  2. Laden Sie die neue Client-Konfigurationsdatei herunter und verteilen Sie sie an Ihre Endbenutzer.
    **Hinweis:**Sie können die Client-Konfigurationsdatei über AWS-Managementkonsole, AWS-Befehlszeilenschnittstelle (AWS CLI) oder API-Befehl herunterladen.
  3. Vergewissern Sie sich, dass die Client-Konfigurationsdatei die folgenden Parameter enthält:
auth-user-pass
static-challenge "Enter MFA code " 1

Hinweis: Wenn Sie duale Authentifizierung verwenden (z. B. gegenseitige + Active-Directory-Authentifizierung), fügen Sie den Kunde hinzu**<cert>und<key>**zur Konfigurationsdatei.

Konfiguration der Endbenutzergeräte

  1. Folgen Sie auf dem Endbenutzergerät dem Aktivierungslink, um die Duo-Anwendung auf dem Gerät zu installieren.
  2. Installieren Sie das Tool Kunde-VPN für Desktop.
    **Hinweis:**Sie können jedes gängige OpenVPN-basierte Client-Tool verwenden, um eine Verbindung zum Client-VPN-Endpunkt herzustellen.
  3. Verwenden Sie die Client-Konfigurationsdatei, um ein Profil zu erstellen.
  4. Verbinden Sie sich mit dem Client-VPN-Endpunkt, der Ihrer Duo-Version entspricht:

Legacy-Duo-Versionen
Geben Sie Ihre Benutzeranmeldeinformationen für Active Directory ein. Geben Sie dann den von der Duo-Anwendung generierten MFA-Code in Client VPN ein. Duo validiert diesen MFA-Code.
**Hinweis:**Je nach Client-VPN-Version und Betriebssystem kann dieses Feld mit Response anstelle von Geben MFA Code ein beschriftet sein.

Moderne Duo-Versionen
Geben Sie Ihre Benutzeranmeldeinformationen für Active Directory ein. Das MFA-Feld von Client VPN wird bei der zweiten Faktor-Authentifizierung von Duo nicht berücksichtigt. In diesem Fall nutzt Duo eine mobile Push-Benachrichtigung als zweiten Authentifizierungsfaktor.
**Hinweis:**Füllen Sie das MFA-Feld in Client VPN mit zufälligen Zeichen aus. Dadurch wird verhindert, dass die Authentifizierung aufgrund eines leeren Feldes fehlschlägt.

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 9 Monaten