[KB3510] 如何配置 Cyberoam®（Sophos 旗下公司）UTM 设备以便与 ESET 安全身份验证一起使用？

简介

本文介绍了如何配置 Cyberoam® UTM 设备，以便通过 ESA 服务器对用户进行身份验证。支持 Cyberoam® SSL VPN、Captive Portal 和 IPsec VPN 应用程序。在继续之前，请确认您已安装 ESET 安全身份验证的 RADIUS 服务器组件，并且可以访问允许外部系统验证用户的 RADIUS 服务。

在 Cyberoam® 设备通过 RADIUS 使用 ESA 服务器验证用户身份之前，必须在 ESA 服务器上将其设置为 RADIUS 客户端。然后，必须将运行 ESA RADIUS 服务的服务器设置为 Cyberoam® 设备上的 RADIUS 服务器。指定这些配置后，您就可以开始使用 ESA OTP 登录 Cyberoam® 设备。

步骤 I - RADIUS 客户端配置

要允许 Cyberoam® 设备与 ESA 服务器通信，必须在 ESA 服务器上将设备配置为 RADIUS 客户端：

1. 登录ESA Web 控制台。
2. 导航至组件 > RADIUS，找到运行 ESA RADIUS 服务的服务器的主机名。
3. 单击主机名，然后单击创建新的 Radius 客户端。
4. 在 "基本设置"部分
   1. 给 RADIUS 客户端起一个好记的名字，以便于参考。
   2. 为客户端配置IP 地址和共享密文，使其与 VPN 设备的配置相对应。IP 地址是设备的内部 IP 地址。如果设备通过 IPv6 通信，则使用该 IP 地址以及相关的范围 ID（接口 ID）。
   3. 共享密文是您将在设备上配置的外部验证器的 RADIUS 共享密文。
5. 在 "身份验证"部分应用下图 1-1 所示的设置。

图 1-1

现在已配置 ESA 与 Cyberoam®设备 通信 。现在必须配置 Cyberoam®设备与 ESA 服务器通信。

步骤 II - 配置 Cyberoam® 设备的 RADIUS 服务器设置

按照以下步骤操作：

1. 以管理员身份登录 Cyberoam® Web Admin Console。
2. 导航至身份 →身份验证 → 身份验证服务器。
3. 单击添加 （见图 2-1）。
   
   

   

   图 2-1

4. 输入以下内容：
   1. 从服务器类型 下拉菜单中选择RADIUS 服务器。
   2. 服务器名称：此服务器的名称（例如，ESA-RADIUS）。
   3. 服务器 IP：ESA RADIUS 服务器的 IP 地址。
   4. 身份验证端口： 1812
   5. 共享密文： RADIUS 服务器共享密文（见图 1-1）
   6. 集成类型：松散集成
5. 单击测试连接。输入测试用户的凭证。确保您使用的用户已启用使用 ESA 的移动应用程序 2FA。提示输入密码时，将 ESA 移动应用程序生成的 OTP 附加到 AD 密码上。例如，如果用户的 AD 密码为 Esa123，OTP 为 999111，则应输入 Esa123999111。
6. 单击 "测试连接"。你应该在左下角看到一条成功状态信息（见图 2-2）。在连接测试成功之前，请勿继续执行步骤 III。

图 2-2

步骤 III - 启用 ESA 身份验证

1. 在左侧面板中，导航至身份→身份验证 →VPN。
2. 配置相关的 VPN 验证方法。例如，对于 SSL VPN 身份验证，选择 "ESA RADIUS "作为身份验证方法，如图 3-1。
3. 单击 "应用"，然后单击 " 确定"。

图 3-1

第四步 - 测试连接

测试新配置的连接：

1. 导航至登录页面。
2. 使用测试账户输入以下凭证：
   1. 用户名字段中的 AD用户名。
   2. 在密码字段中输入 AD 密码和来自 ESA Mobile 应用程序的 OTP。

故障排除

如果无法通过 ESA RADIUS 服务器进行身份验证，请确保已执行以下步骤：

1. 根据 "验证 ESA RADIUS 功能"对RADIUS 服务器进行烟雾测试。
2. 如果没有修复故障且仍无法连接，请恢复到不使用 2FA 的现有登录配置，并验证是否能够连接。
3. 如果使用旧设置可以连接，请恢复新设置，并确认 VPN 设备和 RADIUS 服务器之间没有防火墙阻止 UDP 1812。
4. 如果仍然无法连接，请联系 ESET 技术支持。