Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso usare Duo con il mio Microsoft AD gestito da AWS per fornire l'autenticazione a più fattori per gli utenti finali che si connettono a un endpoint VPN Client?

8 minuti di lettura
0

Desidero usare Duo con il mio Servizio di directory AWS per Microsoft Active Directory. Desidero fornire l'autenticazione a più fattori (MFA) per gli utenti finali che si connettono a un endpoint VPN Client di AWS.

Breve descrizione

Client VPN supporta i seguenti tipi di autenticazione degli utenti finali:

  • Autenticazione reciproca
  • Autenticazione di Active Directory
  • Doppia autenticazione (autenticazione reciproca e di Active Directory)

Le ultime versioni di Duo sfruttano le notifiche push inviate agli utenti finali come autenticazione a due fattori. Le implementazioni precedenti di Duo richiedono agli utenti finali di utilizzare l'app mobile Duo per generare un codice di autenticazione a più fattori (MFA). Usa quindi questo codice con il Client VPN.

È necessario attivare il servizio MFA su Active Directory, ma non direttamente su Client VPN.

Nota: Il tipo di Active Directory deve supportare l'autenticazione a più fattori. I Client VPN nuovi ed esistenti supportano la funzionalità MFA.

Risoluzione

Crea e configura un Microsoft AD gestito da AWS

  1. Crea una directory Microsoft AD gestito da AWS.

  2. Unisci un'istanza Windows di Amazon Elastic Compute Cloud (Amazon EC2) alla directory Microsoft AD gestito da AWS. Questa istanza installa servizi e gestisce utenti e gruppi in Active Directory. L'istanza deve essere associata ad Active Directory. Devi aggiungere un ruolo AWS Identity and Access Management (IAM) con la policy "AmazonEC2RoleforSSM" allegata.

  3. Esegui il seguente comando per accedere all'istanza Amazon EC2.

    Username: Admin@ad_DNS_name
Password: <Your Admin password>

    Nota: Sostituisci la tua password di amministratore con la password di amministratore che hai creato per Active Directory.

  4. In modalità amministratore, usa PowerShell per installare i seguenti servizi:

    install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

  5. Crea utenti di Active Directory e gruppi di Active Directory, quindi aggiungi questi utenti ai gruppi di Active Directory appropriati.
    Nota: Questi utenti di Active Directory sono gli stessi utenti finali che si connetteranno all'endpoint Client VPN.

  6. Esegui il comando seguente per recuperare il SID per i tuoi gruppi di Active Directory. Sostituisci il nome del tuo gruppo di AD con il nome del tuo gruppo di Active Directory.

    Get-ADGroup -Identity <Your-AD-group-name>

Nota: È necessario il SID per autorizzare gli utenti di Active Directory di questo gruppo quando si configurano le regole di autorizzazione Client VPN.

Installa e configura Duo

  1. Registrati (sito Web Duo) o accedi a Duo.
  2. Installa l'applicazione Duo sul tuo dispositivo mobile. Segui le istruzioni per autenticare il tuo account Duo.
  3. Nel tuo account Web Duo, seleziona Applicazioni dal pannello di navigazione a sinistra.
  4. Nel campo di ricerca, inserisci RADIUS e scegli Proteggi.
  5. Nel pannello di navigazione, seleziona Utenti, quindi seleziona Aggiungi utente. In Nome utente, inserisci i nomi dei tuoi utenti finali. I nomi devono corrispondere ai nomi degli utenti di Active Directory. I nomi devono inoltre corrispondere al nome utente con cui gli utenti finali autenticano la connessione all'endpoint Client VPN
  6. Seleziona ogni singolo utente, quindi aggiungi i relativi numeri di telefono. Gli utenti finali ricevono i codici MFA tramite il numero che inserisci qui.
  7. Per raggiungere un utente, seleziona Attiva Duo Mobile, quindi seleziona Genera codice di attivazione Duo Mobile. Sono disponibili due metodi per notificare agli utenti il loro link di attivazione. Puoi selezionare Invia istruzioni tramite SMS per inviare via e-mail il link di attivazione a ciascun utente finale. In alternativa, puoi selezionare Ignora questo passaggio. Quindi, copia i link di attivazione per ogni utente finale e invia manualmente i link a ciascun utente.
  8. Avvia un'istanza EC2 per Windows. Utilizza questa istanza per configurare e gestire l'applicazione Duo Radius. L'istanza deve essere associata ad Active Directory. L'istanza deve inoltre avere il ruolo IAM e l'accesso a Internet corretti. Verifica i gruppi di sicurezza, la lista di controllo dell'accesso alla rete e la tabella di routing dell'istanza
  9. Accedi all'istanza EC2 che gestisce l'applicazione Duo Radius. Quindi, installa il proxy di autenticazione per Windows (sito Web Duo).
  10. Accedi al file di configurazione "authproxy.cfg" in C:\Program Files (x86)\ Duo Security Authentication Proxy\conf\ authproxy.cfg.
  11. Modifica il file di configurazione. Di seguito è riportato un esempio di come può apparire il file:
[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

Per trovare i valori per ikey (chiave di integrazione), skey (chiave segreta) e api\ _host (il nome host API del tuo Duo), completa i seguenti passaggi:

  • Accedi al tuo account Web Duo sul sito Web Duo.
  • Seleziona Pannello di controllo, Applicazioni, Radius.
  • Fai riferimento ai valori in Dettagli.

Per trovare i valori per radius\ _ip\ _1 e radius\ _ip\ _2, completa i seguenti passaggi:

  • Accedi alla Console di gestione AWS.
  • Seleziona Servizio di directory, quindi seleziona Directory.
  • Seleziona il tuo Active Directory.
  • In Dettagli, vedi address\ _ip #1 e address\ _ip #2 nella sezione Indirizzo DNS.
    Nota: Se utilizzi AWS AD\ _connector, address\ _ip#1 e address\ _ip#2 sono gli IP del tuo AD_connector.

Facoltativamente, completa i seguenti passaggi:

  • Imposta la tua radius_secret_key.
  • Cambia la porta.

Modifica la configurazione del gruppo di sicurezza

  1. Accedi alla Console di gestione AWS.
  2. Seleziona Gruppi di sicurezza.
  3. Seleziona il gruppo di sicurezza per i controller di directory.
  4. Modifica la regola in uscita per il gruppo di sicurezza di Active Directory. Fai in modo che la regola consenta UDP 1812 (o la porta del servizio Radius) per l'indirizzo IP di destinazione (IP privato) del tuo server Radius. Oppure, consenti tutto il traffico se il tuo caso d'uso lo permette.

Conferma che il servizio di autenticazione Duo è in esecuzione

  1. Accedi all'istanza Radius EC2 per Windows.
  2. In Servizi, trova il servizio proxy di autenticazione Duo Security. Se il servizio non è nello stato In esecuzione, seleziona Avvia il servizio.

Attiva l'autenticazione a più fattori su Microsoft AD gestito da AWS

  1. Accedi alla Console di gestione AWS.
  2. Seleziona Servizio di directory, quindi seleziona Directory.
  3. Seleziona il tuo Active Directory.
  4. In Reti e sicurezza, seleziona Autenticazione a più fattori. Quindi, seleziona Azioni e poi Abilita.
  5. Inserisci le seguenti informazioni:
    In nome DNS o indirizzi IP del server RADIUS, inserisci l'indirizzo IP privato dell'istanza EC2 per Windows.
    In Porta, inserisci la porta specificata nel file "authproxy.cfg".
    In Codice del segreto condiviso, inserisci il valore radius_secret_keydal file "authproxy.cfg".
    In Protocollo, seleziona PAP.
    InTimeout del server, inserisci un valore.
    In Numero massimo tentativi di richiesta RADIUS, inserisci un valore.

Crea l'endpoint Client VPN

  1. Dopo aver configurato Microsoft AD gestito da AWS e l’autenticazione a più fattori, crea l'endpoint Client VPN. Usa l'Active Directory per cui è attivata l'autenticazione a più fattori.
  2. Scarica il nuovo file di configurazione del client e distribuiscilo agli utenti finali.
    Nota: Puoi scaricare il file di configurazione del client dalla Console di gestione AWS, dall'Interfaccia della linea di comando AWS (AWS CLI) o dal comando API.
  3. Verifica che il file di configurazione del client includa i seguenti parametri:
auth-user-pass
static-challenge "Enter MFA code " 1

Nota: Se utilizzi la doppia autenticazione (ad esempio, autenticazione reciproca + autenticazione di Active Directory), aggiungi il client <cert> e <key> al file di configurazione.

Configura i dispositivi degli utenti finali

  1. Sul dispositivo dell'utente finale, segui il link di attivazione per installare l'applicazione Duo sul tuo dispositivo mobile.
  2. Installa lo strumento Client VPN per Desktop.
    Nota: Puoi anche utilizzare qualsiasi strumento client standard basato su OpenVPN per connetterti all'endpoint Client VPN.
  3. Usa il file di configurazione del client per creare un profilo.
  4. Connettiti all'endpoint Client VPN corretto per la tua versione Duo:

Versioni Duo precedenti
Inserisci le tue credenziali utente di Active Directory. Quindi, inserisci il codice MFA generato dall'applicazione Duo in Client VPN. Duo convalida questo codice MFA.
Nota: A seconda della versione di Client VPN e del sistema operativo in uso, questo campo può essere Risposta anziché Inserisci codice MFA.

Versioni Duo moderne
Inserisci le tue credenziali utente di Active Directory. Il campo Client VPN MFA non viene preso in considerazione da Duo per l'autenticazione a secondo fattore. In questo caso, Duo si affida a una notifica push mobile come secondo fattore di autenticazione. 
**Nota:**Compila il campo Client VPN MFA con caratteri casuali. In questo modo si evita che l'autenticazione abbia esito negativo per la presenza di un campo vuoto.

Argomenti
Networking e distribuzione di contenuti
Tag
AWS Virtual Private Network (VPN)AWS Client VPN
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 10 mesi fa

Contenuto pertinente