Comment puis-je utiliser Duo avec mon annuaire AWS Managed Microsoft AD afin de configurer Multi-Factor Authentication pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Date de la dernière mise à jour : 13/04/2020

Comment puis-je utiliser Duo avec AWS Directory Service pour Microsoft Active Directory afin de configurer Multi-Factor Authentication (MFA) pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Brève description

AWS Client VPN prend en charge les types d'authentification suivants :

  • Authentification mutuelle
  • Authentification Active Directory
  • Authentification double (authentification mutuelle + authentification Active Directory)

Le service Multi-Factor Authentication doit être activé sur l’annuaire Active Directory (et non directement sur AWS Client VPN). Assurez-vous que votre type Active Directory prend en charge l'authentification MFA. Multi-Factor Authentication est pris en charge par les versions nouvelles et existantes d'AWS Client VPN.

Pour configurer l'authentification multi-facteur des utilisateurs se connectant à un point de terminaison AWS Client VPN à l'aide de Duo :

  • Tout d'abord, configurez les services requis en tant qu'administrateur.
  • Ensuite, demandez à chaque utilisateur d'effectuer sa propre configuration pour établir une connexion sécurisée au point de terminaison AWS Client VPN.

Solution

Configuration des services requis en tant qu'administrateur

Création et configuration d'un annuaire AWS Managed Microsoft AD

1.    Créez un annuaire AWS Managed Microsoft AD.

2.    Associez une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) à l'annuaire AWS Managed Microsoft AD.

Cette instance est utilisée pour installer des services dans l’annuaire Active Directory. L'instance est également utilisée pour gérer les utilisateurs et les groupes dans l’annuaire Active Directory. Lors du lancement de l'instance, assurez-vous qu'elle est associée à l’annuaire Active Directory. Veillez également à ajouter un rôle IAM associé à la stratégie « AmazonEC2RoleforSSM ».

3.    Installez les services Active Directory, puis configurez les utilisateurs et groupes l’annuaire Active Directory.

Connectez-vous à l'instance que vous avez créée à l'étape 2 à l'aide de la commande suivante (ou via une connexion Bureau à distance). Veillez à remplacer <Your Admin password> par le mot de passe administrateur que vous avez créé à l'étape 1 pour l’annuaire Active DIrectory.

User name: Admin@ad_DNS_name
Password: <Your Admin password> 

Ensuite, installez les services suivants à l'aide de PowerShell (en mode Administrateur) :

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Créez ensuite des utilisateurs Active Directory et des groupes Active Directory. Ensuite, ajoutez ces utilisateurs à leurs groupes Active Directory appropriés.

Remarque : ces utilisateurs Active Directory sont les mêmes utilisateurs finaux qui se connectent au point de terminaison VPN du client AWS.

Enfin, utilisez la commande suivante pour récupérer le SID de vos groupes Active Directory. Veillez à remplacer <Your-AD-group-name> par le nom de votre groupe Active Directory.

Get-ADGroup -Identity <Your-AD-group-name>

Remarque : vous devez disposer du SID pour autoriser les utilisateurs Active Directory de ce groupe lorsque vous configurez les règles d'autorisation d'AWS Client VPN.

Installation et configuration de Duo

1.    Inscrivez-vous pour obtenir un compte Duo sur le site Web Duo, puis connectez-vous.

2.    Installez l'application Duo sur votre appareil mobile. Lorsque vous recevez une notification texte ou push de Duo, suivez les instructions pour authentifier votre compte Duo.

3.    Dans votre compte Web Duo, sélectionnez Applications dans le volet de navigation de gauche.

4.    Sélectionnez RADIUS pour l'installer.

5.    Dans le volet de navigation, sélectionnez Users (Utilisateurs), puis Add User (Ajouter un utilisateur).

6.    Pour Username (Nom d'utilisateur), saisissez les noms d'utilisateur de vos utilisateurs finaux. Ces noms d'utilisateur doivent correspondre aux noms d'utilisateur Active Directory et à celui que vos utilisateurs finaux utiliseront ultérieurement pour authentifier leur connexion au point de terminaison Client VPN.

7.    Sélectionnez chaque utilisateur et ajoutez son numéro de téléphone. Les utilisateurs finaux reçoivent leurs codes MFA respectifs sur ces numéros de téléphone.

8.    Sélectionnez Activate Duo Mobile (Activer Duo Mobile), puis Generate Duo Mobile Activation Code (Générer un code d'activation Duo Mobile) pour chaque utilisateur. Vous pouvez utiliser deux méthodes pour communiquer aux utilisateurs leur lien d'activation. La première méthode consiste à envoyer ce lien d'activation par e-mail à chaque utilisateur final en sélectionnant Send Instructions by SMS (Envoyer les instructions par SMS). La deuxième méthode consiste à choisir d'ignorer cette étape. Ensuite, copiez les liens d'activation respectifs pour chaque utilisateur final et envoyez-les manuellement.

9.    Lancez une autre instance EC2 Windows. Cette instance est utilisée pour configurer et gérer l'application Duo Radius. Assurez-vous que l'instance est associée à l’annuaire Active Directory, qu'elle dispose du rôle AWS Identity and Access Management (IAM) approprié et d'un accès Internet. Vérifiez ses groupes de sécurité, la liste de contrôle d'accès réseau et la table de routage.

10.    Connectez-vous à l'instance EC2 Radius que vous avez lancée à l'étape 9. Ensuite, installez le proxy d'authentification pour Windows à partir du site Web Duo.

11.    Accédez au fichier de configuration « authproxy.cfg » sous C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg.

12.    Modifiez le fichier de configuration comme suit :

[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

Pour trouver les valeurs pour ikey (clé d'intégration), skey (clé secrète) et api_host (nom d'hôte de l'API Duo) :

  • Connectez-vous à votre compte Web Duo sur le site Web Duo.
  • Sélectionnez Dashboard (Tableau de bord), Applications, puis Radius.
  • Reportez-vous aux valeurs sous Details (Détails).

Pour trouver les valeurs de radius_ip_1 et radius_ip_2 :

  • Connectez-vous à l'AWS Management Console.
  • Sélectionnez Service d'annuaire, puis Annuaires.
  • Sélectionnez votre annuaire Active Directory.
  • Sous Détails, consultez address_ip#1 et address_ip#2 dans la section Adresse DNS.
    Remarque : si vous utilisez AWS AD_connector, address_ip#1 et address_ip#2 sont les adresses IP de votre AD_connector.

Le cas échéant, vous pouvez procéder comme suit :

  • Définissez votre propre radius_secret_key.
  • Modifiez le port, si nécessaire.

Modifier la configuration du groupe de sécurité

1.    Connectez-vous à l'AWS Management Console.

2.    Sélectionnez Groupes de sécurité.

3.    Sélectionnez le groupe de sécurité associé aux contrôleurs d'annuaire.

4.    Modifiez la règle sortante pour le groupe de sécurité de l'annuaire Active Directory, afin d'ouvrir le port UDP 1812 (ou le port de service Radius) de l'adresse IP de destination (ou l'adresse IP privée) de votre serveur Radius. Vous pouvez également autoriser l'intégralité du trafic, si cela est possible.

Confirmer que le service d'authentification Duo est en cours d'exécution

1.    Connectez-vous à l'instance EC2 Windows Radius.

2.    Sous Services, recherchez le service Duo Security Authentication Proxy Service (Service proxy d'authentification de sécurité Duo). Si le service n'affiche pas l'état En cours d'exécution, sélectionnez Start the service (Démarrer le service).

Activer Multi-Factor Authentication sur votre annuaire AWS Microsoft Managed AD

1.    Sélectionnez Service d'annuaire, puis Annuaires.

2.    Sélectionnez votre annuaire Active Directory.

3.    Sous Mise en réseau et sécurité, sélectionnez Authentification multi-facteur. Ensuite, sélectionnez Actions, puis Activer.

4.    Indiquez les informations suivantes :

  • Adresses IP ou nom DNS du serveur RADIUS : saisissez l'adresse IP privée de l'instance EC2 Windows.
  • Port : saisissez le port spécifié dans votre fichier « authproxy.cfg ».
  • Code secret partagé : saisissez la valeur radius_secret_key de votre fichier « authproxy.cfg ».
  • Protocole : sélectionnez PAP.
  • Délai d'expiration du serveur : spécifiez la valeur souhaitée.
  • Nombre maximal de nouvelles tentatives RADIUS : spécifiez la valeur souhaitée.

Créer le point de terminaison AWS Client VPN

1.    Une fois l'annuaire AWS Microsoft Managed AD et Multi-Factor Authentication configurés, créez le point de terminaison AWS Client VPN à l'aide de l'annuaire Active Directory pour lequel l'authentification MFA a été activée.

2.    Téléchargez le nouveau fichier de configuration et envoyez-le aux utilisateurs finaux.
Remarque : vous pouvez télécharger le fichier de configuration à partir de l'AWS Management Console ou de l'interface en ligne de commande AWS (AWS CLI), ou à l'aide de la commande API.

3.    Vérifiez que le fichier de configuration inclut les paramètres suivants :

auth-user-pass
static-challenge "Enter MFA code " 1

Remarque : si vous optez pour l'authentification double (authentification mutuelle + authentification Active Directory), assurez-vous également d'ajouter le client <cert> et <key> au fichier de configuration.

Configuration par les utilisateurs finaux :

1.    Suivez le lien d'activation fourni par votre administrateur informatique pour installer l'application Duo sur votre appareil mobile.

2.    Installez l'outil AWS Client VPN for Desktop.
Remarque : vous pouvez également vous connecter au point de terminaison AWS Client VPN à l'aide de n'importe quel autre outil OpenVPN standard.

3.    Créez un profil à l'aide du fichier de configuration fourni par votre administrateur informatique.

4.    Pour vous connecter au point de terminaison AWS Client VPN, saisissez vos identifiants Active Directory lorsque vous y êtes invité. Saisissez ensuite le code MFA généré par l'application Duo.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?