Arquidia Mantina

Artigos

Articles

Pulse Connect Secure SSL VPN – LDAPS

Duo integroituu Pulse Secure Connect Secure SSL VPN:ään ja lisää kaksitekijätodennuksen mihin tahansa VPN-kirjautumiseen, ja siihen kuuluu inline-itsepalvelukirjautuminen ja Duo Prompt.

Katso vaihtoehtoiset RADIUS-ohjeemme, jos haluat hallita ”vikatilaa” (miten järjestelmä toimii, jos verkkoyhteys Duon kanssa katkeaa) tai integroida Duon yhteen Connect Secure -kirjautumis-URL-osoitteeseen, jossa on useita todennusalueita.

Jos käytössäsi on vielä Juniper v8.2 tai uudempi laiteohjelmisto, katso Juniper SSL VPN -ohjeet.

Yhteysvaatimukset

Tämä sovellus kommunikoi Duon palvelun kanssa TCP-portissa 636. Palomuurimäärityksiä, jotka rajoittavat lähtevää pääsyä Duon palveluun säännöillä, joissa käytetään kohde-IP-osoitteita tai IP-osoitealueita, ei suositella, koska nämä voivat muuttua ajan myötä palvelumme korkean käytettävyyden ylläpitämiseksi. Jos organisaatiosi edellyttää IP-pohjaisia sääntöjä, tutustu tähän Duo KB-artikkeliin.

Kävelyvideo

Ensimmäiset vaiheet

Voit tutustua Duon hallintakonsepteihin ja -ominaisuuksiin, kuten sovellusten valintamahdollisuuksiin, käytettävissä oleviin menetelmiin Duo-käyttäjien rekisteröintiin sekä Duo-käytäntöjen asetuksiin ja niiden soveltamiseen, ennen kuin siirrymme käyttöönottovaiheisiin. Katso kaikki Duo Administrator -asiakirjat.

Varmista, että Duo on yhteensopiva Pulse Secure Access SSL VPN:n kanssa. Kirjaudu sisään Pulse-ylläpitäjän käyttöliittymään ja tarkista, että laiteohjelmistosi on versio 8.3, 9.0 tai uudempi.

Sinulla pitäisi myös olla toimiva ensisijainen todennusmääritys SSL VPN -käyttäjiäsi varten, esim. LDAP-todennus Active Directoryyn.

Sitten sinun täytyy:

  1. Rekisteröityä Duo-tilille.
  2. Kirjaudu sisään Duon hallintapaneeliin ja siirry kohtaan Sovellukset.
  3. Napsauta Protect an Application (Suojaa sovellus) -painiketta ja etsi Sovellukset-luettelosta Juniper SSL VPN:n merkintä. Napsauta Protect (Suojaa) aivan oikealla puolella määrittääksesi sovelluksen ja saadaksesi integrointiavaimen, salaisen avaimen ja API-isäntänimen. Tarvitset nämä tiedot viimeistellessäsi asetukset. Lisätietoja sovellusten suojaamisesta Duossa ja sovellusten lisävaihtoehdoista on kohdassa Sovellusten suojaaminen.
  4. Lataa Duo Juniper 8.x -paketin zip-tiedosto laitteesi laiteohjelmistoversiolle Duon hallintapaneelista (myös Pulse v9.x -laitteille). Tämä tiedosto on räätälöity tiliäsi varten, ja tiedoston nimeen on liitetty Duo-tilisi tunnus (version jälkeen). Sinun on ladattava tämä tiedosto Pulse SSL VPN:ään.
  5. Lataa DigiCert SHA2 High Assurance Server CA -varmenne DigiCertin sivustolta asennettavaksi laitteeseesi.

Käsittele salaista avaintasi kuin salasanaa

Duo-sovelluksen turvallisuus on sidottu salaisen avaimesi (skey) turvallisuuteen. Suojaa se kuten mikä tahansa arkaluonteinen valtakirja. Älä missään tapauksessa jaa sitä luvattomille henkilöille tai lähetä sitä sähköpostitse kenellekään!

Muokkaa sisäänkirjautumissivua

  1. Kirjaudu sisään Pulse Connect Secure SSL VPN -järjestelmänvalvojan verkkokäyttöliittymään.

  2. Navigoi kohteeseen Autentikointi → Sisäänkirjautuminen → Sisäänkirjautumissivut ja napsauta kohtaa Lataa omia sivuja…ja täytä lomake:

    .

    Kenttä Arvo
    Nimi Duo
    Sivun tyyppi Access
    Templates file Lataa Duo Juniper -paketin zip-tiedosto, joka on ladattu aiemmin Duo Admin Panelista. Tiedoston nimi poikkeaa alla olevasta esimerkkikuvasta, mikä heijastaa Duo Juniper/Pulse -paketin todellista versiota ja organisaatiosi Duo-tilin tunnusta (näkyvissä Duo Admin Panel -hallintapaneelin Asetukset-välilehdellä) tilitunnuksena eli Duo-Juniper-8.x-v5-1234-5678-90.zip.zip.Sinun on käytettävä tilillesi räätälöityä Duo-pakettia. Väärän tilin Duo-paketin lataaminen voi aiheuttaa todentamishäiriöitä.

  3. Älä valitse ”Käytä mukautettua sivua Pulse Desktop Client -asiakkaan sisäänkirjautumista varten” tai ”Kysy toissijaisia tunnistetietoja toisella sivulla” -vaihtoehtoja, jos ne ovat olemassa.

  4. Valitse vaihtoehto Ohita validointitarkistukset latauksen aikana. Jos et tee sitä, näet tiedoston lataamisen jälkeen joitakin varoituksia, jotka voit jättää huomiotta.

  5. Klikkaa Upload Custom Pages. Voit sivuuttaa kaikki varoitukset.

Asenna DigiCert CA -varmenne

Duon pilvipalvelu turvaa SSL-liikenteen DigiCertin myöntämillä varmenteilla. Sinun on asennettava DigiCert CA -varmenne SSL VPN -palveluusi, jotta se voi muodostaa suojatun LDAP-yhteyden Duoon varmenteen vahvistuksen avulla.

Asenna Duon palvelun käyttämä DigiCertin välivarmenteen CA-varmenne:

  1. Jos et ole jo tehnyt niin, lataa DigiCert SHA2 High Assurance Server CA -varmenne DigiCertin sivustolta asennettavaksi SSL VPN -laitteeseesi.

  3. Navigoi kohtaan Järjestelmä → Konfigurointi → Varmenteet → Luotetut palvelinvarmenteet Pulse Secure SSL VPN:n hallinnointikäyttöliittymässä.

  4. Klikkaa Tuo luotettu palvelin CA… ja napsauta sitten Selaa-painiketta ”Tuo luotettu palvelin CA” -sivulla.

  5. Valitse DigiCertiltä lataamasi DigiCert SHA2 High Assurance Server CA -tiedosto (DigiCertSHA2HighAssuranceServerCA.crt) ja napsauta Tuo varmenne.

  6. Klikkaa DigiCert CA -varmenteen onnistuneen tuonnin jälkeen Valmis.

Lisää Duo LDAP-palvelin

  1. Navigoi kohtaan Autentikointi → Auth. Servers.

    Valitse LDAP-palvelin Auth Server Type -luettelosta, napsauta New Server (Uusi palvelin) ja täytä lomake:

    .

    Field Value
    Name Duo-LDAP
    LDAP-palvelin Asiointirajapinnan isäntänimesi (esim.e. api-XXXXXXXX.duosecurity.com)
    LDAP-portti 636
    LDAP-palvelintyyppi Generic
    Connection LDAPS
    Validate Server Certificate Check this box

  2. In the ”Authentication required?” -kohdassa ruksi ruutu Authentication required to search LDAP ja täytä lomake (korvaa INTEGRATION_KEY ja SECRET_KEY sovelluskohtaisilla avaimilla).

    Field Value
    Admin DN dc=INTEGRATION_KEY,dc=duosecurity,dc=com
    Password SECRET_KEY

  3. Osiossa ”Käyttäjätietueiden etsiminen”:

    Field Value
    Base DN dc=INTEGRATION_KEY,dc=duosecurity,dc=com
    Filter cn=<USER>

  4. Klikkaa Save Changes. (Kun olet napsauttanut Save (Tallenna) -painiketta, saatat saada viestin, jonka mukaan LDAP-palvelinta ei tavoiteta. Voit jättää tämän viestin huomiotta.)

Käyttäjäalueen määrittäminen

Käyttäjäalueen määrittäminen Duo LDAP-palvelimelle Voit määrittää käyttäjäalueen Duo LDAP-palvelimelle yhdellä tai useammalla seuraavista tavoista:

  • Luo uusi valtakunta testausta varten
  • Luo valtakunta käyttäjien asteittaista siirtämistä varten uuteen järjestelmään (esimerkiksi kopioimalla olemassa oleva valtakunta)
  • Käytä oletusarvoista Käyttäjät-valtakuntaa

Jos luot uuden valtakunnan osana Duon käyttöönottoa, muista luoda roolien määrityssäännöt, joiden avulla voit lisätä käyttäjiä uuteen valtakuntaan.

2FA:n lisääminen käyttäjärealmeihin:

  1. Navigoi kohtaan Käyttäjät → Käyttäjärealmit ja napsauta sen käyttäjärealmin linkkiä, johon haluat lisätä toissijaisen todennuksen (esimerkissämme käytämme realmia nimeltä ”Duo-käyttäjät”).

  2. Käyttäjärealmin ”Yleistä”-välilehdellä laajenna ”Lisätodennuspalvelin”-osio, valitse Ota lisätodennuspalvelin käyttöön -valintaruutu ja täytä lomake:

    Field Value
    Authentication #2 Duo-LDAP
    Username is predefined as <USERNAME>
    Password is specified by user on sign-in page

  3. Chekki ruutuun Lopeta istunto, jos autentikointi kyseistä palvelinta vastaan ei onnistu.

  4. Klikkaa Tallenna muutokset.

  5. Klikkaa sivun yläreunassa olevaa Todennuskäytäntö-välilehteä ja valitse sitten Salasana.

  6. Kohdassa ”Lisätodennuspalvelimen asetukset” valitse Salli kaikille käyttäjille.

  7. Klikkaa Tallenna muutokset.

Sisäänkirjautumiskäytännön määrittäminen toissijaista todennusta varten

Koska lopetat integraation määrittämisen, määritä sisäänkirjautumiskäytäntö toissijaista todennusta varten. Tässä esimerkissä käytämme oletusarvoista */-URL-käytäntöä, mutta voit määrittää uuden kirjautumiskäytännön mukautettuun URL-osoitteeseen (kuten */Duo-testing/) testausta varten.

  1. Navigoi kohtaan Authentication → Signing In → Sign-in Policies (Todentaminen → Sisäänkirjautuminen → Kirjautumiskäytännöt) -välilehdelle.
  2. Klikkaa sen kirjautumiskäytännön linkkiä, jota haluat muokata.

  3. Valitse Duo sisäänkirjautumissivun luettelosta.

  4. Valitse ”Todennuskäytäntö” -kohdassa Käyttäjävalinnat todennuskäytäntöjen luettelosta….

  5. Valitse aiemmin määrittämäsi käyttäjäkäytäntö ja siirrä se oikealla puolella olevaan Valitut käytännöt -laatikkoon napsauttamalla Lisää. Varmista, että tämä on ainoa valittu valtakunta tälle kirjautumissivulle.

  6. Klikkaa Tallenna muutokset.

Testaa asetuksesi

Testataksesi Pulse Connect Secure -kaksitekijätodennuksen asetukset siirry URL-osoitteeseen, jonka määrittelit sisäänkirjautumiskäytäntöäsi varten. Kun olet suorittanut ensisijaisen todennuksen loppuun, Duo-kirjautumis-/ sisäänkirjautumiskehote tulee näkyviin.

Jos käytät Pulse VPN -asiakasohjelmaa, Pulse Connect -asiakasohjelmaa käyttäessäsi näet ”Toinen salasana” -kentän.

Syötä Duo-tekijävaihtoehto toiseksi salasanaksi. Valitse yksi seuraavista:

push Suorita Duo Push -todennus
Voit käyttää Duo Push -todennusta, jos olet asentanut ja aktivoinut Duo Mobilen laitteeseesi.
puhelin Suorita puhelimen takaisinsoittotodennus.
sms Lähetä uusi erä tekstiviestikoodeja.
Todennusyrityksesi hylätään. Voit sen jälkeen tunnistautua jollakin äskettäin lähetetyistä salasanoista.
Numeerinen tunnusluku Kirjaudu sisään käyttämällä tunnuslukua, joka on joko Duo Mobilella luotu, lähetetty tekstiviestillä, luotu laitteistokoodilla tai järjestelmänvalvojan antama. Esimerkkejä: ”123456” tai ”2345678”
Enable Hostname Whitelisting

Jos aiot sallia WebAuthn-todennusmenetelmien (turvaavaimet, U2F-tokenit tai Touch ID) käytön, Duo suosittelee, että otat käyttöön isäntänimen valkoluettelon tälle sovellukselle ja kaikille muille sovelluksille, jotka näyttävät rivissä olevan Duo-ehkäisykehotteen, ennen loppukäyttäjiesi käyttöönottoa.

Vianmääritys

Tarvitsetko apua? Tutustu Pulse Connect Secure Frequently Asked Questions (FAQ) -sivuun tai kokeile etsiä Pulse Connect Secure Knowledge Base -artikkeleita tai yhteisön keskusteluja. Jos tarvitset lisäapua, ota yhteyttä asiakaspalveluun.

Verkkokaavio

  1. SSL VPN -yhteys käynnistetty
  2. Primäärinen todennus
  3. Pulse Connect Secure -yhteys muodostettu Duo Securityyn. TCP-portin 636 kautta
  4. Sekundaarinen todennus Duo Securityn palvelun kautta
  5. Pulse Connect Secure vastaanottaa todennusvastauksen
  6. SSL VPN -yhteys muodostettu

Vastaa

Sähköpostiosoitettasi ei julkaista.