[KB3473] Jak nakonfigurovat zařízení Cisco® ASA IPSec pro použití s ESET Secure Authentication?

Úvod

Tento článek popisuje konfiguraci zařízení Cisco® ASA IPSec pro ověřování uživatelů proti serveru ESA. Než budete pokračovat, ověřte, zda máte nainstalovanou komponentu RADIUS Server ESET Secure Authentication a zda máte přístup ke službě RADIUS, která umožňuje externím systémům ověřovat uživatele.

Než bude zařízení Cisco® ASA IPSec moci používat server ESA k ověřování uživatelů prostřednictvím protokolu RADIUS, musí být na serveru ESA nastaveno jako klient RADIUS. Dále musí být váš server se službou ESA RADIUS nastaven jako server RADIUS v zařízení Cisco® ASA IPSec. Po zadání těchto konfigurací se můžete začít přihlašovat k zařízení Cisco® ASA IPSec pomocí ESA OTP.

Krok I - Konfigurace klienta RADIUS

Aby zařízení Cisco® ASA IPSec mohlo komunikovat se serverem ESA, je nutné zařízení Cisco® ASA IPSec nakonfigurovat jako klienta RADIUS na serveru ESA:

1. Přihlaste se dowebové konzoly ESA.
2. Přejděte na stránku Components > RADIUS a vyhledejte název hostitele serveru, na kterém běží služba ESA RADIUS.
3. Klikněte na název hostitele a potom na Vytvořit nového klienta Radius.
4. V části Základní nastavení :
   1. Dejte klientovi RADIUS zapamatovatelný název, aby se na něj dalo snadno odkazovat.
   2. Nakonfigurujteadresy IP Address a Shared Secret pro klienta tak, aby odpovídaly konfiguraci zařízení VPN. IP adresa je interní IP adresa vašeho spotřebiče. Pokud váš spotřebič komunikuje prostřednictvím protokolu IPv6, použijte tuto IP adresu spolu se souvisejícímID oboru  (ID rozhraní).
   3. Sdílený tajný klíč je sdílený tajný klíč RADIUS pro externí ověřovací zařízení, které nakonfigurujete na svém zařízení.
5. V části Authentication použijte nastavení zobrazené na obrázku 1-1 níže.

Obrázek 1-1

Systém ESA byl nyní nakonfigurován tak, aby komunikoval se systémem Cisco® ASA IPSec. Nyní je třeba nakonfigurovat Cisco® ASA IPSec komunikovat se serverem ESA.

Krok II - Konfigurace zařízení Cisco® ASA

Postupujte podle následujících kroků:

1. Přihlaste se do Správce zařízení služby Adaptime.
2. Přejděte na stránku Konfigurace → Vzdálený přístup VPN.
3. Klikněte na položku Přístup k síti (klient), → Profily připojení IPSec(IKEv1).
4. Vytvoření nového profilu připojení:
   1. Přejděte na kartu Základní v okně Profil připojení vzdáleného přístupu IPSec.
   2. V části Ověřování partnera IKE zadejte předsdílený klíč, který bude zadán do klienta VPN každého koncového uživatele. Mělo by to být silné heslo.
   3. klikněte na možnost Spravovatv části Ověřování.
   4. klikněte na tlačítko Přidat v části Skupiny služeb AAA.
   5. Zadejte název nové skupiny (například ESA-RADIUS), zkontrolujte, zda je protokol nastaven na RADIUS, a klikněte na tlačítko OK.
   6. Vyberte skupinu serverů a klikněte na tlačítko Přidat na panelu Servery ve vybrané skupině.
   7. Nastavte následující parametry na níže uvedené hodnoty (viz obrázek 2-1):
      1. Název rozhraní: Rozhraní ASA, přes které lze dosáhnout serveru ESA RADIUS
      2. Název serveru nebo IP adresa: Název hostitele/IP adresa serveru ESA RADIUS
      3. Časový limit: 30 sekund
      4. Port ověřování serveru: 1812
      5. Port účtu serveru: Nepoužije se, protože ESA nepodporuje RADIUS accountint, ale nastaví se na 1813
      6. Interval opakování: 10 sekund
      7. Tajný klíč serveru: Sdílený tajný kód ze serveru RADIUS (viz obrázek 1-1)
      8. Microsoft CHAPv2 Capable: Nevybráno
   8. Klikněte na OK.
   9. Klikněte na OK.
   10. V levém panelu klikněte na možnost PPP a zkontrolujte, zda je vybrána možnost pouze PAP.
   11. Klikněte na možnost Přiřazení klientské adresy:
       1. Vyberte nebo vytvořte fond DHCP, který chcete použít.
       2. Klikněte na OK.
   12. Klikněte na část Výchozí zásady skupiny:
       1. Vyberte zásady, které chcete použít.
       2. Zkontrolujte, zda jsou vybrány možnosti Enable IPSec Protocol a Enable L2TP IPSec Protocol.
   13. Klikněte na OK.

Obrázek 2-1

Krok III - Testování připojení

Otestování nově nakonfigurovaného připojení:

1. Zkontrolujte, zda je klient VPN správně nakonfigurován:
   1. Zkontrolujte, zda je na kartě Ověřování ve vlastnostech připojení klienta VPN zaškrtnuto přepínač Ověřování skupiny.
   2. Ujistěte se, že předsdílený klíč použitý v kroku 4-b je zadán do obou polí pro heslo.
2. Připojte se k síti IPSec VPN pomocí účtu s povolenou mobilní aplikací 2FA pomocí ESA. Po výzvě k zadání hesla připojte k heslu AD OTP vygenerované mobilní aplikací. Pokud má uživatel například heslo AD Esa123 a OTP 999111, zadejte Esa123999111.

Řešení problémů

Pokud se vám nedaří ověřit prostřednictvím serveru ESA RADIUS, ujistěte se, že jste provedli následující kroky:

1. Proveďte test proti serveru RADIUS podle dokumentu Ověření funkčnosti RADIUS v systému ESA.
2. Pokud nebyly odstraněny žádné závady a stále se nemůžete připojit, vraťte se ke stávající konfiguraci přihlašování (která nepoužívá 2FA) a ověřte, zda se můžete připojit
3. Pokud se stále můžete připojit pomocí starých nastavení, obnovte nová nastavení a ověřte, zda mezi zařízením VPN a serverem RADIUS neblokuje UDP 1812 brána firewall
4. Pokud se vám stále nedaří připojit, kontaktujte technickou podporu společnosti ESET.