DUO MFA voor SSTP VPN met UPN

In omgevingen waarbij je DUO gebruikt voor MFA van een onpremise VPN, is het waarschijnlijk dat je gebruik maakt van de ouderwetse DOMAIN\username inlog, oftewel de bekende samaccountname. In omgevingen waarbij je een azure adsync al hebt lopen naar Microsoft 365, heb je echter een UPN suffix toegevoegd om e-mailadres en userprincipalname te matchen voor een single sign-on ervaring.

Als basis voor het opzetten van een SSTP VPN via RRAS dient dit artikel. Voor het opzetten van een basis verbinding met DUO kun je dit artikel volgen.



Om dit met DUO te laten werken moeten we een kleine aanpassing doorvoeren in de authproxy.cfg. Hier moet een regel worden toegevoegd onder [ad_client]

username_attribute=userPrincipalName

Daarmee hebben we dan de volgende authproxy.cfg

[main]
debug=true

[ad_client]
host=192.168.22.2
service_account_username=duo
service_account_password_protected=2B4B6250655368566D597133743677397A..........
search_dn=DC=steijvers,DC=local
username_attribute=userPrincipalName

[radius_server_auto]
ikey=ikey_uit_duo_portal_bij_protect_application
skey=skey_uit_duo_portal_bij_protect_application
api_host=api-hostname_uit_duoportal.duosecurity.com
radius_ip_1=127.0.0.1
radius_secret_protected_1=244326462948404D635166546A576E5A7234753778214.......
client=ad_client
port=18120
pw_codec='latin-1'
failmode=safe


[cloud]
ikey=ikey_uit_duo_portal_bij_dirsync
skey=skey_uit_duo_portal_bij_dirsync
api_host=api-hostname_uit_duoportal.duosecurity.com

Daarnaast dien je in het DUO Portal een wijziging door te voeren bij je “Application”. Hier moet “Username normalization” op “None” none gezet worden.



Bij “Directory sync” kun je een nieuwe sync opzetten, waarbij je dan kiest om niet default de samaccountname te kiezen als username binnen DUO, maar de userprincipalname. Als je al met mijn eerdere artikel aan de slag was gegaan, vul je bij Username alias 1 userprincipalname in.

In mijn geval had ik voor troubleshooting reeds mijn sync in twijfel getrokken en had ik een geheel nieuwe directory sync opgezet. Daarbij had ik als Username alias 1 de samaccountname opgenomen en de userprincipalname tot hoofdattribuut. Wanneer je bezig bent met een compleet nieuwe opzet, kun je dat dus meteen op die manier opnemen.

Je kunt nu gebruikers laten aanmelden met de userprincipalname / hun e-mailadres die je ook binnen Microsoft 365 gebruikt voor authenticatie in de hybride omgeving.