VMware UAG: configurazione Two-Factor Authentication

vmware-uag-two-factor-authentication-01

Per aggiungere un livello extra di sicurezza all'appliance VMware UAG, il processo di autenticazione può essere rafforzato utilizzando la procedura Two-Factor Authentication con soluzioni tipo Duo Authentication Proxy.

Se l'appliance UAG è installata nella propria infrastruttura VMware Horizon, la Two-Factor Authentication rende la connessione più sicura evitando accessi non autorizzati. Duo è una piattaforma Cisco per accessi sicuri, semplice da utilizzare e scalabile che può essere configurata nell'appliance UAG per una seconda sorgente di validazione.

vmware-uag-two-factor-authentication-02

 

Requisiti di sistema

DUO Authentication Proxy può essere installato nei seguenti OS supportati:

  • Windows Server 2012 o successivi (consigliato Server 2016 o 2019)
  • CentOS 7 o successivi
  • Red Hat Enterprise Linux 7 o successivi
  • Ubuntu 16.04 o successivi
  • Debian 7 o successivi

I requisiti minimi di sistema sono i seguenti:

  • Sistema: macchina fisica o virtuale
  • Processore: 1 processore
  • Memoria: 4 GB RAM
  • Disco: 200 MB o maggiore

L'Authentication Proxy comunica con il servizio Duo sulla porta TCP 443. Verificare che le porte del firewall siano correttamente aperte.

L'app Duo Mobile deve essere installata nel proprio dispositivo mobile (Android o Apple) per gestire le notifiche push.

 

Installare DUO per Two-Factor Authentication

DUO può essere installato nei sistemi Windows o Linux e la procedura è piuttosto semplice. Per risparmiare delle licenze Windows, Duo MFA può essere facilmente installato sulle distribuzioni Linux supportate.

 

Installare il sistema CentOS

Scaricare l'installazione minima di CentOS 7 ed installarlo la VM nella propria LAN.

vmware-uag-two-factor-authentication-03

 

Installare DUO Authentication Proxy

Effettuare una connessione SSH con la VM CentOS 7 ed eseguire il seguente comando dalla console per installare i package richiesti:

# yum install gcc make libffi-devel perl zlib-devel wget

vmware-uag-two-factor-authentication-04

Scaricare il modulo Authentication Proxy tramite il comando wget.

# wget https://dl.duosecurity.com/duoauthproxy-latest-src.tgz

vmware-uag-two-factor-authentication-05

Estrarre i file dal file .TGZ scaricato e lanciare il processo di build.

# tar xzf duoauthproxy-latest-src.tgz
# cd duoauthproxy-version-src
# make

vmware-uag-two-factor-authentication-06

Quando il processo di build è stato completato correttamente, eseguire il comando install per installare l'applicazione.

# cd duoauthproxy-build
# ./install

vmware-uag-two-factor-authentication-07

Notare che il file di configurazione di Duo Authentication Proxy viene salvato nella cartella /opt/duoauthproxy/conf/authproxy.cfg.

 

Recuperare i parametri Duo

Dopo aver registrato l'account in Duo, selezionare il software da proteggere (VMware View) dalla lista di applicazioni disponibili.

vmware-uag-two-factor-authentication-08

Accedere all'area applicazioni ed annotare i parametri necessari alla configurazione di Duo nella sezione Dettagli:

  • Integration key
  • Secret key
  • API hostname

vmware-uag-two-factor-authentication-09

 

Configurare l'autenticazione push

Duo presenta diversi metodi di autenticazione che si possono configurare. La notifica push, ad esempio, permette all'applicazione di inviare una notifica push direttamente sul dispositivo mobile dell'utente.

Per configurare la notifica push, è necessario editare il file di configurazione di Duo ed impostarlo come segue:

# vi /opt/duoauthproxy/conf/authproxy.cfg

[ad_client]
host=xx.xx.xx.xx          (IP Domain Controller 1)
host_2=xx.xx.xx.xx     (IP Domain Controller 2)
service_account_username=duoservice
service_account_password=password
search_dn=DC=domain,DC=com

[radius_server_auto]
ikey=xxxxxxxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=192.168.95.101      (UAG1 IP address)
radius_ip_2=192.168.95.102     (UAG2 IP address)
radius_secret_1=xxxxxxxxxxxxxxxxxxxx     (configure secret also in UAG)
failmode=secure
client=ad_client
port=1812

vmware-uag-two-factor-authentication-10

Salvare il file e riavviare il servizio.

# /opt/duoauthproxy/bin/authproxyctl restart

vmware-uag-two-factor-authentication-11

 

Configurare UAG

Una volta che il DUO Authentication Proxy è stato correttamente configurato, l'UAG deve essere configurato opportunamente.

Tramite il browser preferito, digitare l'indirizzo https://<IP_UAG>:9443, specificare le credenziali di admin e cliccare su Login.

vmware-uag-two-factor-authentication-12

Cliccare Select sotto la voce Configure Manually.

vmware-uag-two-factor-authentication-13

 

Configurare RADIUS

Per sfruttare Duo Two-Factor Authentication, è necessario accedere alla sezione Authentication in UAG e configurare RADIUS come protocollo.

Per impostare il protocollo RADIUS abilitare l'Authentication Settings.

vmware-uag-two-factor-authentication-14

Cliccare sull'icona Settings RADIUS per configurare il protocollo.

vmware-uag-two-factor-authentication-15

Cliccare sullo switch Enable RADIUS.

vmware-uag-two-factor-authentication-16

Configurare i parametri richiesti e cliccare su Save. Lo Shared Secret deve essere lo stesso come configurato nel Duo Authentication Proxy.

vmware-uag-two-factor-authentication-17

 

Abilitare l'autenticazione RADIUS in UAG

Una volta che il protocollo è stato abilitato, RADIUS deve essere configurato nella configurazione di Horizon. Cliccare su Edge Service Settings.

vmware-uag-two-factor-authentication-18

Cliccare sull'icona Horizon Settings.

vmware-uag-two-factor-authentication-19

Dal menu a tendina Auth Methods selezionare la voce RADIUS e cliccare su Save. E' necessario cliccare sul link More per visualizzare le impostazioni aggiuntive.

vmware-uag-two-factor-authentication-20

E' necessario inoltre abilitare questi parametri per evitare di inserire le credenziali due volte.

vmware-uag-two-factor-authentication-21

 

Test di autenticazione

Aprire il browser preferito (per l'accesso https) e digitare l'URL per accedere all'infrastruttura Horizon. Inserire le credenziali di un utente autorizzato e cliccare Login. Le credenziali sono verificate ed autenticate in Active Directory.

vmware-uag-two-factor-authentication-22

Una volta che le credenziali vengono validate in AD, viene inviata una richiesta push direttamente nel dispositivo mobile dell'utente. Cliccare Approve per effettuare il login.

vmware-uag-two-factor-authentication-23

Quando l'autorizzazione viene data tramite Duo, l'accesso ad Horizon viene concesso.

vmware-uag-two-factor-authentication-24

L'UAG è ora configurato con il Two-Factor Authentication rendendo l'accesso all'infrastruttura più sicura.

signature

Leave a Reply