Comment puis-je utiliser Duo avec mon compte AWS Managed Microsoft AD pour fournir une authentification multifactorielle aux utilisateurs finaux qui se connectent à un point de terminaison Client VPN ?

Brève description

Client VPN prend en charge les types d’authentification de l’utilisateur final suivants :

• Authentification mutuelle
• Authentification Active Directory
• Authentification double (authentification mutuelle et Active Directory)

Les dernières versions de Duo utilisent les notifications push envoyées aux utilisateurs finaux en tant qu’authentification à deux facteurs. Les implémentations Legacy Duo nécessitent que les utilisateurs finaux utilisent l’application mobile Duo pour générer un code d’authentification multifactorielle (MFA). Vous utilisez ensuite ce code avec Client VPN.

Vous devez activer le service MFA sur Active Directory, mais pas directement sur Client VPN.

Remarque : votre type d’Active Directory doit prendre en charge la fonction MFA. Les Client VPN nouveaux et existants prennent en charge la fonction MFA.

Résolution

Créer et configurer un compte AWS Managed Microsoft AD

1. Créez un répertoire AWS Managed Microsoft AD.

2. Joignez une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) au répertoire AWS Managed Microsoft AD. Cette instance installe les services et gère les utilisateurs et les groupes dans l’Active Directory. L’instance doit être associée à l’Active Directory. Vous devez ajouter un rôle Gestion des identités et des accès AWS (AWS IAM) auquel la politique « AmazonEC2RoleforSSM » est associée.

3. Exécutez la commande suivante pour vous connecter à l’instance Amazon EC2.

   Username: Admin@ad_DNS_name
   Password: <Your Admin password>

   Remarque : remplacez votre mot de passe administrateur par le mot de passe administrateur que vous avez créé pour l’Active Directory.

4. En mode Admin, utilisez PowerShell pour installer les services suivants :

   install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

5. Créez des utilisateurs Active Directory et des groupes Active Directory, puis ajoutez ces utilisateurs aux groupes Active Directory appropriés.
   Remarque : ces utilisateurs Active Directory sont les utilisateurs finaux qui se connecteront au point de terminaison Client VPN.

6. Exécutez la commande suivante pour récupérer le SID de vos groupes Active Directory. Remplacez la valeur Your-AD-group-name par votre nom de groupe Active Directory.

   Get-ADGroup -Identity <Your-AD-group-name>

Remarque : vous avez besoin du SID pour autoriser les utilisateurs Active Directory de ce groupe lorsque vous configurez les règles d’autorisation de Client VPN.

Installer et configurer Duo

1. Inscrivez-vous (site Web Duo) ou connectez-vous à Duo.
2. Installez l’application Duo sur votre appareil mobile. Suivez les instructions pour authentifier votre compte Duo.
3. Dans le volet de navigation de gauche de votre compte Web Duo, choisissez Applications.
4. Dans le champ de recherche, saisissez RADIUS et choisissez Protéger.
5. Dans le volet de navigation, choisissez Utilisateurs, puis Ajouter des utilisateurs. Dans Nom d’utilisateur, saisissez le nom de vos utilisateurs finaux. Les noms doivent correspondre à ceux des utilisateurs Active Directory. Les noms doivent également correspondre à chaque nom d’utilisateur avec lequel vos utilisateurs finaux authentifient leur connexion au point de terminaison Client VPN
6. Sélectionnez chaque utilisateur, puis ajoutez son numéro de téléphone. Les utilisateurs finaux reçoivent leurs codes MFA via le numéro que vous saisissez ici.
7. Pour chaque utilisateur, choisissez Activer Duo Mobile, puis sélectionnez Générer le code d’activation de Duo Mobile. Deux méthodes permettent d’informer les utilisateurs de leur lien d’activation. Vous pouvez choisir Envoyer les instructions par SMS pour envoyer le lien d’activation par e-mail à chaque utilisateur final. Ou vous pouvez choisir Ignorer cette étape. Copiez ensuite les liens d’activation pour chaque utilisateur final et envoyez-les manuellement à chaque utilisateur.
8. Lancez une instance Windows EC2. Utilisez cette instance pour configurer et gérer l’application Duo Radius. L’instance doit être associée à Active Directory. L’instance doit également disposer du rôle IAM et d’un accès Internet appropriés. Vérifiez les groupes de sécurité, la liste de contrôle d’accès réseau et la table de routage de l’instance
9. Connectez-vous à l’instance EC2 qui gère l’application Duo Radius. Installez ensuite le proxy d’authentification pour Windows (site Web Duo).
10. Accédez au fichier de configuration « authproxy.cfg » à l’emplacement C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg.
11. Modifier le fichier de configuration. Voici à quoi le fichier peut ressembler :

[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

Pour trouver les valeurs pour les champs ikey (clé d’intégration), skey (clé secrète) et api_host (nom d’hôte de l’API Duo), procédez comme suit :

• Connectez-vous à votre compte Web Duo sur le site Web Duo.
• Choisissez Tableau de bord, Applications, Radius.
• Consultez les valeurs sous Détails.

Pour trouver les valeurs des champs radius_ip_1 et radius_ip_2, procédez comme suit :

• Connectez-vous à la console de gestion AWS.
• Choisissez Directory Service, puis Directories.
• Sélectionnez votre Active Directory.
• Sous Détails, consultez les valeurs address_ip#1 et address_ip#2 dans la section Adresse DNS.
  Remarque : si vous utilisez AWS AD_connector, les valeurs address_ip#1 et address_ip#2 correspondent aux adresses IP de votre AD_connector.

Vous pouvez effectuer les étapes facultatives suivantes :

• Définissez votre radius_secret_key.
• Changez le port.

Modifier la configuration du groupe de sécurité

1. Connectez-vous à la console de gestion AWS.
2. Choisissez Groupes de sécurité.
3. Sélectionnez le groupe de sécurité des contrôleurs de répertoire.
4. Modifiez la règle sortante pour le groupe de sécurité de l’Active Directory. Faites en sorte que la règle autorise l’UDP 1812 (ou le port de service Radius) pour l’adresse IP de destination (IP privée) de votre serveur Radius. Vous pouvez également autoriser tout le trafic si votre cas d’utilisation le permet.

Vérifiez que le service d’authentification Duo est en cours d’exécution

1. Connectez-vous à l’instance Windows Radius EC2.
2. Sous Services, recherchez le service proxy d’authentification de sécurité Duo. Si le service n’est pas en cours d’exécution, choisissez Démarrer le service.

Activer l’authentification multifactorielle sur votre compte AWS Managed Microsoft AD

1. Connectez-vous à la console de gestion AWS.
2. Choisissez Directory Service, puis Directories.
3. Sélectionnez votre Active Directory.
4. Sous Réseau et sécurité, choisissez Authentification multifactorielle. Choisissez ensuite Actions, puis sélectionnez Activer.
5. Saisissez les informations suivantes :
   Pour le champ Nom DNS ou adresses IP du serveur RADIUS, saisissez l’adresse IP privée de l’instance Windows EC2.
   Pour le champ Port, saisissez le port spécifié dans votre fichier « authproxy.cfg ».
   Pour le champ Shared secret code, saisissez la valeur radius_secret_key indiquée dans votre fichier « authproxy.cfg ».
   Pour le champ Protocole, choisissez PAP.
   Pour le champ Délai d’expiration du serveur, saisissez une valeur.
   Pour le champ Nouvelles tentatives de demande Max RADIUS, saisissez une valeur.

Créer le point de terminaison Client VPN

1. Une fois que les services AWS Managed Microsoft AD et MFA sont configurés, créez le point de terminaison Client VPN. Utilisez l’Active Directory pour lequel l’authentification multifactorielle est activée.
2. Téléchargez le nouveau fichier de configuration client et distribuez-le à vos utilisateurs finaux.
   Remarque : vous pouvez télécharger le fichier de configuration client depuis la console de gestion AWS, l’interface de la ligne de commande AWS (AWS CLI) ou la commande d’API.
3. Vérifiez que le fichier de configuration client inclut les paramètres suivants :

auth-user-pass
static-challenge "Enter MFA code " 1

Remarque : si vous utilisez l’authentification double (par exemple, l’authentification mutuelle + Active Directory), vous devez ajouter les valeurs <cert> et <key> du client au fichier de configuration.

Configurer les appareils de l’utilisateur final

1. Sur l’appareil de l’utilisateur final, suivez le lien d’activation pour installer l’application Duo sur votre appareil mobile.
2. Installez l’outil Client VPN for Desktop.
   Remarque : vous pouvez également utiliser n’importe quel outil client standard basé sur OpenVPN pour vous connecter au point de terminaison Client VPN.
3. Utilisez le fichier de configuration client pour créer un profil.
4. Connectez-vous au point de terminaison Client VPN correspondant à votre version de Duo :

Versions héritées de Duo
Saisissez vos informations d’identification utilisateur Active Directory. Saisissez ensuite le code MFA généré par l’application Duo dans Client VPN. Duo valide ce code MFA.
Remarque : selon la version de Client VPN et le système d’exploitation que vous utilisez, ce champ peut s’intituler Réponse au lieu de Saisir le code MFA.

Versions modernes de Duo
Saisissez vos informations d’identification utilisateur Active Directory. Le champ MFA Client VPN n’est pas pris en compte pour l’authentification du second facteur par Duo. Dans ce cas, Duo utilise une notification push mobile comme deuxième facteur d’authentification. 
Remarque : renseignez le champ MFA Client VPN avec des caractères aléatoires. Cela évite que l’authentification échoue en raison d’un champ vide.