Duo Authentication Proxyを検証してみた（Windows編）

こんにちは。ネットワークソリューション特集編集部です。
今回はCisco Duo Securityを使ったオンプレミス機器との認証連携を検証してみました。

Duo Authentication Proxyとは

Duo Securityは直接オンプレ機器とRADIUSやLDAPを利用した認証が出来ないためプロキシサーバ（Duo Authentication Proxy）が必要です。

検証環境の構成図

本検証の構成図です。Meraki MXのリモートVPNをRADIUS認証(ユーザDBはActive Directory)する形になります。

ローカルIPアドレスは下記にしています。

Merai MX64
192.168.128.1/24
Duo Authentication Proxy（Windows）
192.168.128.10/24

Duo Authentication Proxy（Windows）構築

詳細な手順についてはメーカマニュアルを参照ください。

Duo Admin Panel設定

１．Admin Panelで保護対象のオンプレミス機器の保護を設定します。

https://admin.duosecurity.com/

２．今回はMeraki VPNでのLDAP認証（Active Directory）をします。

３．「Protect an Application」を選択します。

４．「meraki」で検索して、「Meraki RADIUS VPN」を選択します。

５．3つのパラメータをコピーしておきます。

Duo Authentication Proxy（Windows）インストール

メーカドキュメントのURLより、インストールプログラムもダウンロードして実行します。

https://dl.duosecurity.com/duoauthproxy-latest.exe

Duo Authentication Proxy（Windows）設定

環境に合わせて設定ファイル（authproxy.cfg）に入力します。

[ad_client]

host=127.0.0.1
Active Diretory サーバのIPアドレスを入力します。今回はADサーバにインストールしているのでループバックアドレスにしています。
service_account_username=Administrator
service_account_password=password
ADサーバのユーザ名とパスワードを入力します。
search_dn=CN=Users,DC=lab,DC=local
DirectoryサーバのサーチDNを入力します。今回はUsersディレクトの直下にしました。

[radius_server_auto]

ikey=<Duo Admin Panelでの取得パラメータ>
skey=<Duo Admin Panelでの取得パラメータ>
api_host=<Duo Admin Panelでの取得パラメータ>
Duo Admin Panelでの取得パラメータを入力します。
radius_ip_1=192.168.128.1
RADIUSクライアントのIPアドレスを入力します。今回はMerakiMXのIPアドレスになります。
radius_secret_1=password
RADIUSのシークレットキーを入力します。
client=ad_client
AD認証を指定します。
port=1812
RADIUSポートを入力します。
failmode=safe
Duoサービスに接続できない場合でもAD認証に成功すれば通過するよう入力します。

[ad_client]
host=127.0.0.1
service_account_username=Administrator
service_account_password=password
search_dn=CN=Users,DC=lab,DC=local

[radius_server_auto]
ikey=<Duo Admin Panelでの取得パラメータ>
skey=<Duo Admin Panelでの取得パラメータ>
api_host=<Duo Admin Panelでの取得パラメータ>
radius_ip_1=192.168.128.1
radius_secret_1=password
client=ad_client
port=1812
failmode=safe

設定変更後に、サービスの起動または再起動をします。