Como posso usar o Duo com meu AWS Managed Microsoft AD para fornecer autenticação multifator para usuários finais que se conectam a um endpoint do Client VPN?
Quero usar o Duo com meu AWS Directory Service para Microsoft Active Directory. Quero fornecer autenticação multifator (MFA) para usuários finais que se conectam a um endpoint do AWS Client VPN.
Breve descrição
O Client VPN oferece suporte aos seguintes tipos de autenticação de usuário final:
- Autenticação mútua
- Autenticação do Active Directory
- Autenticação dupla (autenticação mútua e do Active Directory)
As versões mais recentes do Duo utilizam notificações push que são enviadas aos usuários finais como uma autenticação de dois fatores. As implementações do Legacy Duo exigem que os usuários finais usem o aplicativo móvel Duo para gerar um código de autenticação multifator (MFA). Em seguida, você usa esse código com o Client VPN.
Você deve ativar o serviço MFA no Active Directory, mas não diretamente no Client VPN.
Observação: Seu tipo de Active Directory deve ter suporte a MFA. Client VPNs novos e existentes oferecem suporte à funcionalidade de MFA.
Resolução
Criar e configurar um AWS Managed Microsoft AD
-
Integre uma instância Windows do Amazon Elastic Compute Cloud (Amazon EC2) ao diretório AWS Managed Microsoft AD. Essa instância instala serviços e gerencia usuários e grupos no Active Directory. A instância deve estar associada ao Active Directory. Você deve adicionar um perfil do AWS Identity and Access Management (IAM) com a política “AmazonEC2RoleforSSM” anexada.
-
Execute o comando a seguir para fazer login na instância do Amazon EC2.
Username: Admin@ad_DNS_name Password: <Your Admin password>
Observação: Substitua sua senha de administrador pela senha de administrador que você criou para o Active Directory.
-
No modo Administrador, use o PowerShell para instalar os seguintes serviços:
install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false
-
Crie usuários do Active Directory e grupos do Active Directory e, em seguida, adicione esses usuários aos grupos apropriados do Active Directory.
Observação: Esses usuários do Active Directory são os mesmos usuários finais que se conectarão ao endpoint do Client VPN. -
Execute o comando a seguir para recuperar o SID para seus grupos do Active Directory. Substitua Your-AD-group-name pelo nome do grupo do Active Directory.
Get-ADGroup -Identity <Your-AD-group-name>
Observação: Você precisa que o SID autorize os usuários do Active Directory desse grupo ao configurar as regras de autorização do Cliente VPN.
Instalar e configurar o Duo
- Inscreva-se (site do Duo) ou faça login no Duo.
- Instale o aplicativo Duo em seu dispositivo móvel. Siga as instruções para autenticar sua conta Duo.
- Na sua conta web do Duo, escolha Aplicativos no painel de navegação à esquerda.
- No campo de pesquisa, insira RADIUS e escolha Proteger.
- No painel de navegação, escolha Usuários e, em seguida, escolha Adicionar usuário. Em Nome de usuário, insira os nomes dos usuários finais. Os nomes devem corresponder aos nomes dos usuários do Active Directory. Os nomes também devem corresponder ao nome de usuário com o qual seus usuários finais autenticam sua conexão com o endpoint do Client VPN
- Selecione cada usuário individual e, em seguida, adicione seus números de telefone. Os usuários finais recebem seus códigos de MFA por meio do número que você insere aqui.
- Para cada usuário, escolha Ativar o Duo Mobile e, em seguida, escolha Gerar código de ativação do Duo Mobile. Há dois métodos disponíveis para notificar os usuários sobre o link de ativação. Você pode escolher Enviar instruções por SMS para enviar o link de ativação por e-mail para cada usuário final. Ou você pode escolher Ignorar esta etapa. Em seguida, copie os links de ativação para cada usuário final e envie os links para cada usuário manualmente.
- Inicie uma instância Windows do EC2. Use essa instância para configurar e gerenciar o aplicativo Duo Radius. A instância deve estar associada ao Active Directory. A instância também deve ter o perfil do IAM e o acesso à Internet corretos. Verificar os grupos de segurança, a lista de controle de acesso à rede e a tabela de rotas da instância
- Faça login na instância do EC2 que gerencia o aplicativo Duo Radius. Em seguida, instale o Proxy de autenticação para Windows (site do Duo).
- Navegue até o arquivo de configuração “authproxy.cfg” em C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg.
- Edite o arquivo de configuração. Veja a seguir um exemplo da aparência do arquivo:
[duo_only_client] [radius_server_auto] ikey=XXX skey=YYY api_host=api-ZZZ.duosecurity.com radius_ip_1=<AD-DNS-address#1> radius_secret_1=<My-password> radius_ip_2=<AD-DNS-address#2> radius_secret_2=<My-password> failmode=safe client=duo_only_client port=1812
Para encontrar os valores de ikey (chave de integração), skey (chave secreta) e api_host (nome de host da API do Duo), conclua as seguintes etapas:
- Faça login na sua conta web do Duo no site do Duo.
- Escolha Painel, Aplicativos, Radius.
- Consulte os valores em Detalhes.
Para encontrar os valores de radius_ip_1 e radius_ip_2, conclua as seguintes etapas:
- Faça login no Console de Gerenciamento da AWS.
- Escolha Serviço de diretórios e, em seguida, escolha Diretórios.
- Selecione seu Active Directory.
- Em Detalhes, consulte address_ip#1 e address_ip#2 na seção DNS address.
Observação: Se você usa AWS AD_connector, então address_ip#1 e address_ip#2 são os IPs do seu AD_connector.
Opcionalmente, conclua as seguintes etapas:
- Defina radius_secret_key.
- Mude a porta.
Modificar a configuração do grupo de segurança
- Faça login no Console de Gerenciamento da AWS.
- Escolha Grupos de segurança.
- Selecione o grupo de segurança para os controladores de diretório.
- Edite a regra de saída para o grupo de segurança do Active Directory. Faça com que a regra permita UDP 1812 (ou a porta de serviço Radius) para o endereço IP de destino (IP privado) do seu servidor Radius. Ou permita todo o tráfego, se seu caso de uso permitir.
Confirmar se o serviço de autenticação Duo está em execução
- Faça login na instância Windows do Radius EC2.
- Em Serviços, localize o Serviço de proxy de autenticação de segurança do Duo. Se o serviço não estiver no estado Em execução, escolha Iniciar o serviço.
Ativar a MFA em seu AWS Managed Microsoft AD
- Faça login no Console de Gerenciamento da AWS.
- Escolha Serviço de diretórios e, em seguida, escolha Diretórios.
- Selecione seu Active Directory.
- Em Rede e segurança, escolha Autenticação multifator. Em seguida, escolha Ações e, em seguida, escolha Habilitar.
- Insira as seguintes informações:
Para o nome DNS ou endereços IP do servidor RADIUS, insira o endereço IP privado da instância Windows do EC2.
Em Porta, insira a porta especificada no arquivo “authproxy.cfg”.
Em Código secreto compartilhado, insira o valor radius_secret_key do seu arquivo “authproxy.cfg”.
Em Protocolo, escolha PAP.
Em Tempo limite do servidor, insira um valor.
Em Máximo de tentativas de solicitação RADIUS, insira um valor.
Criar o endpoint do Client VPN
- Depois que o AWS Managed Microsoft AD e a MFA forem configurados, crie o endpoint do Client VPN. Use o Active Directory para o qual MFA está ativada.
- Baixe o novo arquivo de configuração cliente e distribua-o para seus usuários finais.
Observação: Você pode baixar o arquivo de configuração cliente no Console de Gerenciamento da AWS, na AWS Command Line Interface (AWS CLI) ou no comando da API. - Confirme se o arquivo de configuração do cliente inclui os seguintes parâmetros:
auth-user-pass static-challenge "Enter MFA code " 1
Observação: Se você usar autenticação dupla (por exemplo, autenticação Mutual + Active Directory), adicione o cliente <cert> e <key> ao arquivo de configuração.
Configurar os dispositivos do usuário final
- No dispositivo do usuário final, siga o link de ativação para instalar o aplicativo Duo em seu dispositivo móvel.
- Instale a ferramenta Client VPN for Desktop.
Observação: Você também pode usar qualquer ferramenta cliente padrão baseada em OpenVPN para se conectar ao endpoint do Client VPN. - Use o arquivo de configuração do cliente para criar um perfil.
- Conecte-se ao endpoint do Client VPN correto para sua versão do Duo:
Versões herdadas do Duo
Insira suas credenciais de usuário do Active Directory. Em seguida, insira o código MFA que o aplicativo Duo gera no Client VPN. O Duo valida esse código MFA.
Observação: Dependendo da versão do Client VPN e do sistema operacional que você usa, esse campo pode ser Resposta em vez de Inserir código MFA.
Versões modernas do Duo
Insira suas credenciais de usuário do Active Directory. O campo MFA do Client VPN não é levado em consideração para a autenticação de segundo fator do Duo. Nesse caso, o Duo conta com um push de notificação móvel como segundo fator de autenticação.
Observação: Preencha o campo MFA do Client VPN com caracteres aleatórios. Isso evita que a autenticação falhe por ter um campo em branco.
Conteúdo relevante
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 3 anos