Zpětná vazba
Pomohla vám tato stránka? Dejte nám vědět, jak ji můžeme vylepšit.
Duo se integruje s vaší sítí Pulse Secure Connect Secure SSL VPN a přidává dvoufaktorové ověřování k jakémukoli přihlášení k síti VPN, doplněné o samoobslužnou registraci a výzvu Duo Prompt.
Podívejte se na naše alternativní pokyny RADIUS, pokud chcete ovládat „failmode“ (jak se bude systém chovat, pokud dojde k přerušení síťové komunikace s Duo) nebo integrovat Duo do jediné přihlašovací adresy URL Connect Secure s více oblastmi ověřování.
Pokud stále používáte firmware Juniper v8.2 nebo nižší, přečtěte si návod Juniper SSL VPN.
Tato aplikace komunikuje se službou Duo na portu TCP 636. V případě, že je to nutné, můžete si přečíst návod k použití. Konfigurace brány firewall, které omezují odchozí přístup ke službě Duo pomocí pravidel využívajících cílové IP adresy nebo rozsahy IP adres, se nedoporučují, protože se mohou v průběhu času měnit, aby byla zachována vysoká dostupnost naší služby. Pokud vaše organizace vyžaduje pravidla založená na IP, prostudujte si tento článek Duo KB.
Procházkové video
První kroky
Předtím, než přejdete ke krokům nasazení, je dobré se seznámit s pojmy a funkcemi správy Duo, jako jsou možnosti aplikací, dostupné metody registrace uživatelů Duo a nastavení zásad Duo a jejich použití. Viz veškerá dokumentace správce Duo.
Ujistěte se, že je systém Duo kompatibilní s vaší sítí Pulse Secure Access SSL VPN. Přihlaste se do rozhraní správce Pulse a ověřte, zda je váš firmware verze 8.3, 9.0 nebo novější.
Měli byste mít také funkční konfiguraci primárního ověřování pro uživatele SSL VPN, např. ověřování LDAP na Active Directory.
Poté budete muset:
- Zaregistrovat si účet Duo.
- Přihlásit se do panelu správce Duo a přejít na položku Aplikace.
- Kliknout na položku Chránit aplikaci a v seznamu aplikací vyhledat položku Juniper SSL VPN. Kliknutím na tlačítko Chránit zcela vpravo nakonfigurujte aplikaci a získejte integrační klíč, tajný klíč a název hostitele API. Tyto informace budete potřebovat k dokončení nastavení. Další informace o ochraně aplikací v aplikaci Duo a další možnosti aplikací naleznete v části Ochrana aplikací.
- Stáhněte si z panelu správy Duo soubor zip balíčku Duo Juniper 8.x pro verzi firmwaru vašeho zařízení (i pro zařízení Pulse v9.x). Tento soubor je přizpůsoben vašemu účtu a k názvu souboru (za verzí) je připojeno ID vašeho účtu Duo. Budete jej muset nahrát do svého zařízení Pulse SSL VPN.
- Stáhněte si certifikát DigiCert SHA2 High Assurance Server CA ze stránek DigiCert a nainstalujte jej do svého zařízení.
Zabezpečení vaší aplikace Duo je vázáno na zabezpečení vašeho tajného klíče (skey). Zabezpečte jej stejně jako jakékoli jiné citlivé pověření. V žádném případě jej nesdílejte s neoprávněnými osobami ani jej nikomu neposílejte e-mailem!
Úprava přihlašovací stránky
- Přihlaste se do webového rozhraní správce sítě Pulse Connect Secure SSL VPN.
-
Přejděte do části Ověřování → Přihlašování → Přihlašovací stránky a klikněte na možnost Nahrát vlastní stránky…, a vyplňte formulář:
Pole Hodnota Název Duo Typ stránky .
Přístup Soubor šablony Nahrajte zip soubor balíčku Duo Juniper stažený dříve z panelu správce Duo. Název vašeho souboru se bude lišit od příkladu na obrázku níže a bude odrážet skutečnou verzi balíčku Duo Juniper/Pulse a ID účtu Duo vaší organizace (viditelné na kartě Nastavení v panelu správce Duo) jako accountid, tedy Duo-Juniper-8.x-v5-1234-5678-90. Musíte použít balíček Duo přizpůsobený pro váš účet. Nahrání balíčku Duo pro nesprávný účet může způsobit selhání ověření. -
Nezaškrtávejte možnosti „Použít vlastní stránku pro přihlášení ke klientovi Pulse Desktop“ nebo „Nabídnout sekundární pověření na druhé stránce“, pokud jsou přítomny.
-
Zaškrtněte políčko Přeskočit kontroly ověření při nahrávání. Pokud tak neučiníte, zobrazí se po nahrání souboru několik varování, která můžete ignorovat.
-
Klikněte na možnost Nahrát vlastní stránky. Všechna varování můžete ignorovat.
Instalace certifikátu certifikační autority DigiCert
Cloudová služba společnosti Duo zabezpečuje provoz SSL pomocí certifikátů vydaných společností DigiCert. Certifikát certifikační autority DigiCert je třeba nainstalovat do sítě SSL VPN, aby bylo možné navázat zabezpečené připojení LDAP ke službě Duo pomocí ověření platnosti certifikátu.
Pro instalaci certifikátu DigiCert intermediate CA používaného službou Duo:
-
Pokud jste tak již neučinili, stáhněte si z webu DigiCert certifikát DigiCert SHA2 High Assurance Server CA pro instalaci do zařízení SSL VPN.
-
Přejděte na Systém → Konfigurace → Certifikáty → Důvěryhodné serverové certifikační autority v rozhraní pro správu Pulse Secure SSL VPN.
-
Klikněte na tlačítko Import Trusted Server CA… a poté klikněte na tlačítko Browse na stránce „Import Trusted Server CA“.
-
Vyberte soubor DigiCert SHA2 High Assurance Server CA, který jste stáhli od společnosti DigiCert (
DigiCertSHA2HighAssuranceServerCA.crt
), a klikněte na tlačítko Import Certificate. -
Po úspěšném importu certifikátu certifikační autority DigiCert klikněte na tlačítko Hotovo.
Přidejte server Duo LDAP
-
Přejděte na Ověřování → Auth. Servery.
Zvolte LDAP Server ze seznamu Auth Server Type, klikněte na New Server a vyplňte formulář:
Pole Hodnota Název Duo-LDAP LDAP Server Váš název hostitele API (tj.e. api-XXXXXXXX.duosecurity.com
)LDAP Port 636 LDAP Server Type Generic Connection LDAPS .
Ověřit certifikát serveru Zaškrtněte toto políčko -
V poli „Vyžaduje se ověření?“ zaškrtněte políčko Authentication required to search LDAP (Ověření vyžadováno pro vyhledávání v LDAP) a vyplňte formulář (klíče INTEGRATION_KEY a SECRET_KEY nahraďte klíči specifickými pro vaši aplikaci).
Field Value Admin DN dc=INTEGRATION_KEY,dc=duosecurity,dc=com Heslo SECRET_KEY -
V části „Vyhledávání uživatelských záznamů“:
Field Value Base DN dc=INTEGRATION_KEY,dc=duosecurity,dc=com Filtr cn=<USER> -
Klikněte na Uložit změny. (Po kliknutí na tlačítko Uložit se může zobrazit zpráva, že server LDAP je nedostupný. Tuto zprávu můžete ignorovat.)
Konfigurace uživatelské sféry
Chcete-li nakonfigurovat uživatelskou sféru pro server Duo LDAP, můžete provést jednu nebo více z následujících akcí:
- Vytvořit novou sféru pro testování
- Vytvořit sféru pro postupnou migraci uživatelů do nového systému (například duplikováním stávající sféry)
- Použít výchozí sféru Users
Pokud v rámci nasazení systému Duo vytvoříte novou sféru, nezapomeňte vytvořit pravidla mapování rolí pro přidání uživatelů do nové sféry.
Přidání 2FA do sféry uživatelů:
- Přejděte na stránku Uživatelé → Sféry uživatelů a klikněte na odkaz sféry uživatelů, do které chcete přidat sekundární ověřování (v našem příkladu používáme sféru s názvem „Duo-Users“).
-
Na kartě „Obecné“ uživatelské sféry rozbalte část „Další ověřovací server“, zaškrtněte políčko Povolit další ověřovací server a vyplňte formulář:
Pole Hodnota Ověřování #2 Duo-LDAP Username is predefined as <USERNAME> Password is specified by user on sign-in page -
Check the End session if authentication against this server fails box.
-
Klikněte na tlačítko Uložit změny.
- Klikněte na kartu Zásady ověřování v horní části stránky a poté klikněte na tlačítko Heslo.
-
V části „Možnosti pro další ověřovací server“ vyberte možnost Povolit všem uživatelům.
-
Klikněte na tlačítko Uložit změny.
Konfigurace zásad přihlašování pro sekundární ověřování
Pro dokončení nastavení integrace nakonfigurujte zásady přihlašování pro sekundární ověřování. V tomto příkladu použijeme výchozí zásadu */
URL, ale pro testování můžete nastavit novou zásadu přihlašování na vlastní URL (například */Duo-testing/
).
- Přejděte na kartu Ověřování → Přihlašování → Zásady přihlašování.
- Klikněte na odkaz pro zásadu přihlašování, kterou chcete upravit.
-
Zvolte Duo ze seznamu přihlašovacích stránek.
-
V části „Authentication realm“ (Oblast ověřování) vyberte User picks (Výběr uživatele) ze seznamu oblastí ověřování….
-
Zvolte dříve nakonfigurovanou oblast uživatele a kliknutím na tlačítko Add (Přidat) ji přesuňte do pole Selected realms (Vybrané oblasti) vpravo. Ujistěte se, že je to jediná vybraná sféra pro tuto přihlašovací stránku.
-
Klikněte na tlačítko Uložit změny.
Test nastavení
Pro otestování nastavení dvoufaktorového ověřování Pulse Connect Secure přejděte na adresu URL, kterou jste definovali pro zásady přihlašování. Po dokončení primárního ověření se zobrazí výzva k registraci/přihlášení Duo.
Pokud používáte klienta Pulse VPN, zobrazí se při použití klienta Pulse Connect pole „Secondary Password“ (Druhé heslo).
Jako druhé heslo zadejte možnost faktoru Duo. Vyberte si z následujících možností:
push | Provést ověření Duo Push Ověření Duo Push můžete použít, pokud máte v zařízení nainstalovanou a aktivovanou aplikaci Duo Mobile. |
telefon | Provedete zpětné telefonické ověření. |
sms | Odeslání nové dávky SMS kódů. Váš pokus o ověření bude zamítnut. Poté se můžete ověřit pomocí jednoho z nově doručených přístupových kódů. |
Číslicový přístupový kód | Přihlaste se pomocí přístupového kódu vygenerovaného pomocí aplikace Duo Mobile, zaslaného prostřednictvím SMS, vygenerovaného hardwarovým tokenem nebo poskytnutého správcem. Příklady: „123456“ nebo „2345678“ |
Pokud plánujete povolit používání metod ověřování WebAuthn (bezpečnostní klíče, tokeny U2F nebo Touch ID), společnost Duo doporučuje povolit whitelisting hostitelského jména pro tuto aplikaci a všechny ostatní, které zobrazují inline výzvu Duo Prompt, před nástupem koncových uživatelů.
Řešení problémů
Potřebujete pomoc? Podívejte se na stránku s často kladenými dotazy (FAQ) k aplikaci Pulse Connect Secure nebo zkuste prohledat naše články ve znalostní databázi Pulse Connect Secure či diskuse v komunitě. Pro další pomoc se obraťte na podporu.
Síťový diagram
- Připojení SSL VPN zahájeno
- Primární ověření
- Připojení Pulse Connect Secure navázáno na Duo Security. přes TCP port 636
- Sekundární ověření prostřednictvím služby Duo Security
- Pulse Connect Secure přijímá ověřovací odpověď
- SSL VPN spojení navázáno
.