Pulse Connect Secure SSL VPN – LDAPS

Podívejte se na naše alternativní pokyny RADIUS, pokud chcete ovládat „failmode“ (jak se bude systém chovat, pokud dojde k přerušení síťové komunikace s Duo) nebo integrovat Duo do jediné přihlašovací adresy URL Connect Secure s více oblastmi ověřování.

Pokud stále používáte firmware Juniper v8.2 nebo nižší, přečtěte si návod Juniper SSL VPN.

Procházkové video

První kroky

Předtím, než přejdete ke krokům nasazení, je dobré se seznámit s pojmy a funkcemi správy Duo, jako jsou možnosti aplikací, dostupné metody registrace uživatelů Duo a nastavení zásad Duo a jejich použití. Viz veškerá dokumentace správce Duo.

Ujistěte se, že je systém Duo kompatibilní s vaší sítí Pulse Secure Access SSL VPN. Přihlaste se do rozhraní správce Pulse a ověřte, zda je váš firmware verze 8.3, 9.0 nebo novější.

Měli byste mít také funkční konfiguraci primárního ověřování pro uživatele SSL VPN, např. ověřování LDAP na Active Directory.

Poté budete muset:

1. Zaregistrovat si účet Duo.
2. Přihlásit se do panelu správce Duo a přejít na položku Aplikace.
3. Kliknout na položku Chránit aplikaci a v seznamu aplikací vyhledat položku Juniper SSL VPN. Kliknutím na tlačítko Chránit zcela vpravo nakonfigurujte aplikaci a získejte integrační klíč, tajný klíč a název hostitele API. Tyto informace budete potřebovat k dokončení nastavení. Další informace o ochraně aplikací v aplikaci Duo a další možnosti aplikací naleznete v části Ochrana aplikací.
4. Stáhněte si z panelu správy Duo soubor zip balíčku Duo Juniper 8.x pro verzi firmwaru vašeho zařízení (i pro zařízení Pulse v9.x). Tento soubor je přizpůsoben vašemu účtu a k názvu souboru (za verzí) je připojeno ID vašeho účtu Duo. Budete jej muset nahrát do svého zařízení Pulse SSL VPN.
5. Stáhněte si certifikát DigiCert SHA2 High Assurance Server CA ze stránek DigiCert a nainstalujte jej do svého zařízení.

Úprava přihlašovací stránky

1. Přihlaste se do webového rozhraní správce sítě Pulse Connect Secure SSL VPN.

2. Přejděte do části Ověřování → Přihlašování → Přihlašovací stránky a klikněte na možnost Nahrát vlastní stránky…, a vyplňte formulář:

   .

   Pole	Hodnota
   Název	Duo
   Typ stránky	Přístup
   Soubor šablony	Nahrajte zip soubor balíčku Duo Juniper stažený dříve z panelu správce Duo. Název vašeho souboru se bude lišit od příkladu na obrázku níže a bude odrážet skutečnou verzi balíčku Duo Juniper/Pulse a ID účtu Duo vaší organizace (viditelné na kartě Nastavení v panelu správce Duo) jako accountid, tedy Duo-Juniper-8.x-v5-1234-5678-90. Musíte použít balíček Duo přizpůsobený pro váš účet. Nahrání balíčku Duo pro nesprávný účet může způsobit selhání ověření.

3. Nezaškrtávejte možnosti „Použít vlastní stránku pro přihlášení ke klientovi Pulse Desktop“ nebo „Nabídnout sekundární pověření na druhé stránce“, pokud jsou přítomny.

4. Zaškrtněte políčko Přeskočit kontroly ověření při nahrávání. Pokud tak neučiníte, zobrazí se po nahrání souboru několik varování, která můžete ignorovat.

   

5. Klikněte na možnost Nahrát vlastní stránky. Všechna varování můžete ignorovat.

Instalace certifikátu certifikační autority DigiCert

Cloudová služba společnosti Duo zabezpečuje provoz SSL pomocí certifikátů vydaných společností DigiCert. Certifikát certifikační autority DigiCert je třeba nainstalovat do sítě SSL VPN, aby bylo možné navázat zabezpečené připojení LDAP ke službě Duo pomocí ověření platnosti certifikátu.

Pro instalaci certifikátu DigiCert intermediate CA používaného službou Duo:

1. Pokud jste tak již neučinili, stáhněte si z webu DigiCert certifikát DigiCert SHA2 High Assurance Server CA pro instalaci do zařízení SSL VPN.

2. Přejděte na Systém → Konfigurace → Certifikáty → Důvěryhodné serverové certifikační autority v rozhraní pro správu Pulse Secure SSL VPN.

3. Klikněte na tlačítko Import Trusted Server CA… a poté klikněte na tlačítko Browse na stránce „Import Trusted Server CA“.

4. Vyberte soubor DigiCert SHA2 High Assurance Server CA, který jste stáhli od společnosti DigiCert (DigiCertSHA2HighAssuranceServerCA.crt), a klikněte na tlačítko Import Certificate.

   

5. Po úspěšném importu certifikátu certifikační autority DigiCert klikněte na tlačítko Hotovo.

   

Přidejte server Duo LDAP

1. Přejděte na Ověřování → Auth. Servery.

   Zvolte LDAP Server ze seznamu Auth Server Type, klikněte na New Server a vyplňte formulář:

   .

   Pole	Hodnota
   Název	Duo-LDAP
   LDAP Server	Váš název hostitele API (tj.e. api-XXXXXXXX.duosecurity.com)
   LDAP Port	636
   LDAP Server Type	Generic
   Connection	LDAPS
   Ověřit certifikát serveru	Zaškrtněte toto políčko

   

2. V poli „Vyžaduje se ověření?“ zaškrtněte políčko Authentication required to search LDAP (Ověření vyžadováno pro vyhledávání v LDAP) a vyplňte formulář (klíče INTEGRATION_KEY a SECRET_KEY nahraďte klíči specifickými pro vaši aplikaci).

   Field	Value
   Admin DN	dc=INTEGRATION_KEY,dc=duosecurity,dc=com
   Heslo	SECRET_KEY

3. V části „Vyhledávání uživatelských záznamů“:

   Field	Value
   Base DN	dc=INTEGRATION_KEY,dc=duosecurity,dc=com
   Filtr	cn=<USER>

   

4. Klikněte na Uložit změny. (Po kliknutí na tlačítko Uložit se může zobrazit zpráva, že server LDAP je nedostupný. Tuto zprávu můžete ignorovat.)

Konfigurace uživatelské sféry

Chcete-li nakonfigurovat uživatelskou sféru pro server Duo LDAP, můžete provést jednu nebo více z následujících akcí:

• Vytvořit novou sféru pro testování
• Vytvořit sféru pro postupnou migraci uživatelů do nového systému (například duplikováním stávající sféry)
• Použít výchozí sféru Users

Pokud v rámci nasazení systému Duo vytvoříte novou sféru, nezapomeňte vytvořit pravidla mapování rolí pro přidání uživatelů do nové sféry.

Přidání 2FA do sféry uživatelů:

1. Přejděte na stránku Uživatelé → Sféry uživatelů a klikněte na odkaz sféry uživatelů, do které chcete přidat sekundární ověřování (v našem příkladu používáme sféru s názvem „Duo-Users“).

2. Na kartě „Obecné“ uživatelské sféry rozbalte část „Další ověřovací server“, zaškrtněte políčko Povolit další ověřovací server a vyplňte formulář:

   Pole	Hodnota
   Ověřování #2	Duo-LDAP
   Username is	predefined as <USERNAME>
   Password is	specified by user on sign-in page

3. Check the End session if authentication against this server fails box.

   

4. Klikněte na tlačítko Uložit změny.

5. Klikněte na kartu Zásady ověřování v horní části stránky a poté klikněte na tlačítko Heslo.

6. V části „Možnosti pro další ověřovací server“ vyberte možnost Povolit všem uživatelům.

   

7. Klikněte na tlačítko Uložit změny.

Konfigurace zásad přihlašování pro sekundární ověřování

Pro dokončení nastavení integrace nakonfigurujte zásady přihlašování pro sekundární ověřování. V tomto příkladu použijeme výchozí zásadu */ URL, ale pro testování můžete nastavit novou zásadu přihlašování na vlastní URL (například */Duo-testing/).

1. Přejděte na kartu Ověřování → Přihlašování → Zásady přihlašování.
2. Klikněte na odkaz pro zásadu přihlašování, kterou chcete upravit.

3. Zvolte Duo ze seznamu přihlašovacích stránek.

   

4. V části „Authentication realm“ (Oblast ověřování) vyberte User picks (Výběr uživatele) ze seznamu oblastí ověřování….

5. Zvolte dříve nakonfigurovanou oblast uživatele a kliknutím na tlačítko Add (Přidat) ji přesuňte do pole Selected realms (Vybrané oblasti) vpravo. Ujistěte se, že je to jediná vybraná sféra pro tuto přihlašovací stránku.

   

6. Klikněte na tlačítko Uložit změny.

Test nastavení

Pro otestování nastavení dvoufaktorového ověřování Pulse Connect Secure přejděte na adresu URL, kterou jste definovali pro zásady přihlašování. Po dokončení primárního ověření se zobrazí výzva k registraci/přihlášení Duo.

Pokud používáte klienta Pulse VPN, zobrazí se při použití klienta Pulse Connect pole „Secondary Password“ (Druhé heslo).

Jako druhé heslo zadejte možnost faktoru Duo. Vyberte si z následujících možností:

push	Provést ověření Duo Push Ověření Duo Push můžete použít, pokud máte v zařízení nainstalovanou a aktivovanou aplikaci Duo Mobile.
telefon	Provedete zpětné telefonické ověření.
sms	Odeslání nové dávky SMS kódů. Váš pokus o ověření bude zamítnut. Poté se můžete ověřit pomocí jednoho z nově doručených přístupových kódů.
Číslicový přístupový kód	Přihlaste se pomocí přístupového kódu vygenerovaného pomocí aplikace Duo Mobile, zaslaného prostřednictvím SMS, vygenerovaného hardwarovým tokenem nebo poskytnutého správcem. Příklady: „123456“ nebo „2345678“

Řešení problémů

Potřebujete pomoc? Podívejte se na stránku s často kladenými dotazy (FAQ) k aplikaci Pulse Connect Secure nebo zkuste prohledat naše články ve znalostní databázi Pulse Connect Secure či diskuse v komunitě. Pro další pomoc se obraťte na podporu.

Síťový diagram

1. Připojení SSL VPN zahájeno
2. Primární ověření
3. Připojení Pulse Connect Secure navázáno na Duo Security. přes TCP port 636
4. Sekundární ověření prostřednictvím služby Duo Security
5. Pulse Connect Secure přijímá ověřovací odpověď
6. SSL VPN spojení navázáno

.