Duo를 AWS 관리형 Microsoft AD와 함께 사용하여 클라이언트 VPN 엔드포인트에 연결하는 최종 사용자에게 다중 인증을 제공하려면 어떻게 해야 하나요?

간략한 설명

클라이언트 VPN은 다음 유형의 최종 사용자 인증을 지원합니다:

• 상호 인증
• Active Directory 인증
• 이중 인증(상호 및 Active Directory 인증)

최신 버전의 Duo는 최종 사용자에게 2단계 인증으로 전송되는 푸시 알림을 활용합니다. 레거시 Duo 구현에서는 최종 사용자가 Duo 모바일 앱을 사용하여 다중 인증(MFA) 코드를 생성해야 합니다. 그런 다음 클라이언트 VPN과 함께 이 코드를 사용합니다.

Active Directory에서 MFA 서비스를 켜야 하지만 클라이언트 VPN에서 직접 켜서는 안 됩니다.

참고: Active Directory 유형은 MFA를 지원해야 합니다. 신규 및 기존 클라이언트 VPN 모두 MFA 기능을 지원합니다.

해결 방법

AWS 관리형 Microsoft AD 생성 및 구성

1. AWS 관리형 Microsoft AD 디렉터리를 생성합니다.

2. Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스를 AWS 관리형 Microsoft AD 디렉터리에 조인합니다. 이 인스턴스는 Active Directory에서 서비스를 설치하고 사용자 및 그룹을 관리합니다. 인스턴스는 Active Directory와 연결되어야 합니다. “AmazonEC2RoleforSSM” 정책과 함께 AWS Identity and Access Management(IAM) 역할을 추가해야 합니다.

3. 다음 명령을 실행하여 Amazon EC2 인스턴스에 로그인합니다.

   Username: Admin@ad_DNS_name
   Password: <Your Admin password>

   참고:****관리자 암호를 Active Directory용으로 만든 관리자 암호로 바꿉니다.

4. 관리자 모드에서 PowerShell을 사용하여 다음 서비스를 설치합니다:

   install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

5. Active Directory 사용자 및 Active Directory 그룹을 만든 다음 이러한 사용자를 해당 Active Directory 그룹에 추가합니다.
   참고: 이러한 Active Directory 사용자는 클라이언트 VPN 엔드포인트에 연결하는 최종 사용자와 동일합니다.

6. 다음 명령을 실행하여 Active Directory 그룹의 SID를 검색합니다. Your-AD-group-name을 Active Directory 그룹 이름으로 바꿉니다.

   Get-ADGroup -Identity <Your-AD-group-name>

참고: 클라이언트 VPN 권한 부여 규칙을 구성할 때 이 그룹의 Active Directory 사용자에게 권한을 부여하려면 SID가 필요합니다.

Duo 설치 및 구성

1. Duo에 가입하거나(Duo 웹사이트) Duo에 로그인합니다.
2. 모바일 장치에 Duo 애플리케이션을 설치합니다. 지침에 따라 Duo 계정을 인증합니다.
3. Duo 웹 계정의 왼쪽에 있는 탐색 창에서 Applications(애플리케이션)을 선택합니다.
4. 검색 필드에 RADIUS를 입력하고 Protect(보호)를 선택합니다.
5. 탐색 창에서 Users(사용자)를 선택한 다음 Add User(사용자 추가)를 선택합니다. Username(사용자 이름)에는 최종 사용자의 이름을 입력합니다. 이름은 Active Directory 사용자 이름과 일치해야 합니다. 또한 이름은 최종 사용자가 Client VPN 엔드포인트에 대한 연결을 인증하는 데 사용하는 사용자 이름과 일치해야 합니다.
6. 각 개별 사용자를 선택한 다음 전화번호를 추가합니다. 최종 사용자는 여기에 입력한 번호를 통해 MFA 코드를 받습니다.
7. 각 사용자에 대해 Activate Duo Mobile(Duo Mobile 활성화)를 선택한 다음 Generate Duo Mobile Activation Code(Duo Mobile 활성화 코드 생성)을 선택합니다. 사용자에게 활성화 링크를 알리는 방법에는 두 가지가 있습니다. Send Instructions by SMS(SMS로 안내 전송)를 선택하여 각 최종 사용자에게 활성화 링크를 이메일로 보낼 수 있습니다. 또는 Skip this step(이 단계 건너뛰기)를 선택할 수 있습니다. 그런 다음 각 최종 사용자의 활성화 링크를 복사하고 링크를 각 사용자에게 수동으로 보냅니다.
8. EC2 Windows 인스턴스를 시작합니다. 이 인스턴스를 사용하여 Duo Radius 애플리케이션을 구성하고 관리할 수 있습니다. 인스턴스는 Active Directory와 연결되어야 합니다. 또한 인스턴스에는 올바른 IAM 역할과 인터넷 액세스 권한이 있어야 합니다. 인스턴스의 보안 그룹, 네트워크 접근 제어 목록, 라우팅 테이블을 확인합니다.
9. Duo Radius 애플리케이션을 관리하는 EC2 인스턴스에 로그인합니다. 그런 다음 Windows용 인증 프록시를 설치합니다(Duo 웹사이트).
10. C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg에 있는 "authproxy.cfg" 구성 파일로 이동합니다.
11. 구성 파일을 편집합니다. 파일의 예시는 다음과 같습니다:

[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

ikey(통합 키), skey(비밀 키) 및 api_host(Duo의 API 호스트 이름)의 값을 찾으려면 다음 단계를 완료하세요:

• Duo 웹사이트에서 Duo 웹 계정에 로그인합니다.
• Dashboard(대시보드), Applications(애플리케이션), Radius를 선택합니다.
• 세부 정보의 값을 참조하세요.

radius_ip_1 및 radius_ip_2값을 찾으려면 다음 단계를 완료합니다:

• AWS Management Console에 로그인합니다.
• 디렉터리 서비스를 선택한 다음 디렉터리를 선택합니다.
• Active Directory를 선택합니다.
• Details(세부 정보)에서 DNS address(DNS 주소) 섹션의 address_ip#1 및 address_ip#2를 참조하세요.
  참고: AWS AD_connector를 사용하는 경우 address_ip#1 및 address_ip#2가 AD_connector의 IP입니다.

필요한 경우 다음 단계를 완료하세요:

• radius_secret_key를 설정합니다.
• port를 변경합니다.

보안 그룹 구성 수정

1. AWS Management Console에 로그인합니다.
2. 보안 그룹을 선택합니다.
3. 디렉터리 컨트롤러의 보안 그룹을 선택합니다.
4. Active Directory의 보안 그룹에 대한 아웃바운드 규칙을 편집합니다. 규칙이 Radius 서버의 대상 IP 주소(프라이빗 IP)에 UDP 1812(또는 Radius 서비스 포트)를 허용하도록 합니다. 또는 사용 사례에서 허용하는 경우 모든 트래픽을 허용합니다.

Duo 인증 서비스가 실행 중인지 확인합니다.

1. Radius EC2 Windows 인스턴스에 로그인합니다.
2. Services(서비스)에서 Duo Security Authentication Proxy Service(Duo 보안 인증 프록시 서비스)를 찾습니다. 서비스가 Running(실행 중) 상태가 아닌 경우 Start the service(서비스 시작)을 선택합니다.

AWS 관리형 Microsoft AD에서 MFA를 켭니다.

1. AWS Management Console에 로그인합니다.
2. 디렉터리 서비스를 선택한 다음 디렉터리를 선택합니다.
3. Active Directory를 선택합니다.
4. 네트워킹 및 보안에서 다중 인증을 선택합니다. 그런 다음 작업, 활성화를 선택합니다.
5. 다음 정보를 입력합니다:
   RADIUS 서버 DNS 이름 또는 IP 주소의 경우 EC2 Windows 인스턴스의 프라이빗 IP 주소를 입력합니다.
   Port(포트)에는 "authproxy.cfg" 파일에 지정된 포트를 입력합니다.
   Shared secret code(공유 암호 코드)에는 "authproxy.cfg" 파일의 radius_secret_key 값을 입력합니다.
   Protocol(프로토콜)에 대해 PAP를 선택합니다.
   Server timeout(서버 시간 초과)에 대해 값을 입력합니다.
   Max RADIUS request retries(최대 RADIUS 요청 재시도 횟수)에 대해 값을 입력합니다.

클라이언트 VPN 엔드포인트 생성

1. AWS 관리형 Microsoft AD 및 MFA를 설정한 후 클라이언트 VPN 엔드포인트를 생성합니다. MFA가 켜져 있는 Active Directory를 사용하세요.
2. 새 클라이언트 구성 파일을 다운로드하여 최종 사용자에게 배포합니다.
   참고: AWS 관리 콘솔, AWS Command Line Interface(AWS CLI) 또는 API 명령에서 클라이언트 구성 파일을 다운로드할 수 있습니다.
3. 클라이언트 구성 파일에 다음 매개 변수가 포함되어 있는지 확인합니다:

auth-user-pass
static-challenge "Enter MFA code " 1

참고: 이중 인증(예: 상호 + Active Directory 인증)을 사용하는 경우 클라이언트 <cert> 및 **<key>**을(를) 구성 파일에 추가합니다.

최종 사용자 장치 구성

1. 최종 사용자 장치에서 활성화 링크를 따라 모바일 장치에 Duo 애플리케이션을 설치합니다.
2. 데스크톱용 클라이언트 VPN 도구를 설치합니다.
   참고: 또한 표준 OpenVPN 기반 클라이언트 도구를 사용하여 클라이언트 VPN 엔드포인트에 연결할 수 있습니다.
3. 클라이언트 구성 파일을 사용하여 프로필을 생성합니다.
4. 사용 중인 Duo 버전에 맞는 클라이언트 VPN 엔드포인트에 연결하세요:

레거시 Duo 버전
Active Directory 사용자 보안 인증 정보를 입력합니다. 그런 다음 Duo 애플리케이션에서 생성된 MFA 코드를 클라이언트 VPN에 입력합니다. Duo는 이 MFA 코드의 유효성을 검사합니다.
참고: 클라이언트 VPN 버전 및 사용하는 운영 체제에 따라 이 필드는 Enter MFA code(MFA 코드 입력) 대신 Response(응답)일 수 있습니다.

최신 Duo 버전
Active Directory 사용자 보안 인증 정보를 입력합니다. 클라이언트 VPN MFA 필드는 Duo의 2단계 인증에 고려되지 않습니다. 이 경우 Duo는 모바일 알림 푸시를 두 번째 인증 요소로 사용합니다. 
참고: 클라이언트 VPN MFA 필드를 임의의 문자로 채웁니다. 이렇게 하면 빈 필드로 인한 인증 실패를 방지할 수 있습니다.