[KB3510] Wie konfiguriere ich mein Cyberoam® (ein Sophos Unternehmen) UTM-Gerät für die Verwendung mit ESET Secure Authentication?

Einführung

In diesem Artikel wird beschrieben, wie ein Cyberoam® UTM-Gerät konfiguriert wird, um Benutzer gegenüber einem ESA-Server zu authentifizieren. Cyberoam® SSL VPN, Captive Portal und IPsec VPN-Anwendungen werden unterstützt. Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die RADIUS Server-Komponente von ESET Secure Authentication installiert haben und auf den RADIUS-Service zugreifen können, der es externen Systemen ermöglicht, Benutzer zu authentifizieren.

Bevor Ihr Cyberoam®-Gerät den ESA-Server zur Authentifizierung von Benutzern über RADIUS verwenden kann, muss es als RADIUS-Client auf dem ESA-Server eingerichtet werden. Als nächstes muss Ihr Server, auf dem der ESA RADIUS-Service ausgeführt wird, als RADIUS-Server auf dem Cyberoam®-Gerät eingerichtet werden. Sobald diese Konfigurationen festgelegt wurden, können Sie sich mit ESA OTPs bei Ihrem Cyberoam®-Gerät anmelden.

Schritt I - RADIUS-Client-Konfiguration

Damit das Cyberoam®-Gerät mit Ihrem ESA-Server kommunizieren kann, müssen Sie das Gerät als RADIUS-Client auf Ihrem ESA-Server konfigurieren:

1. Melden Sie sich bei der ESA Web Console an.
2. Navigieren Sie zu Komponenten > RADIUS und suchen Sie den Hostnamen des Servers, auf dem der ESA RADIUS-Service läuft.
3. Klicken Sie auf den Hostnamen und dann auf Neuen Radius-Client erstellen.
4. Im Abschnitt Grundeinstellungen
   1. Geben Sie dem RADIUS-Client einen einprägsamen Namen, damit er leicht zu finden ist.
   2. Konfigurieren Sie die IP-Adresse und das Shared Secret für den Client so, dass sie mit der Konfiguration Ihrer VPN-Appliance übereinstimmen. Die IP-Adresse ist die interne IP-Adresse Ihrer Appliance. Wenn Ihre Appliance über IPv6 kommuniziert, verwenden Sie diese IP-Adresse zusammen mit der zugehörigen Scope-ID (Schnittstellen-ID).
   3. Das Shared Secret ist das RADIUS-Shared Secret für den externen Authentifikator, den Sie auf Ihrer Appliance konfigurieren werden.
5. Nehmen Sie im Abschnitt Authentifizierung die in Abbildung 1-1 unten dargestellten Einstellungen vor.

Abbildung 1-1

ESA wurde jetzt für die Kommunikation mit dem Cyberoam®-Gerät konfiguriert . Sie müssen nun das Cyberoam®-Gerät für die Kommunikation mit dem ESA-Server konfigurieren.

Schritt II - Konfigurieren Sie die RADIUS-Server-Einstellungen für Ihr Cyberoam®-Gerät

Führen Sie die folgenden Schritte aus:

1. Melden Sie sich als Administrator bei der Cyberoam® Web Admin Console an.
2. Navigieren Sie zu Identität → Authentifizierung → Authentifizierungsserver.
3. Klicken Sie auf Hinzufügen (siehe Abbildung 2-1).
   
   

   

   Abbildung 2-1

4. Geben Sie die folgenden Daten ein
   1. Wählen Sie RADIUS-Server aus der Dropdown-Liste Servertyp.
   2. Server-Name: Ein Name für diesen Server (z. B. ESA-RADIUS).
   3. Server-IP: Die IP-Adresse Ihres ESA-RADIUS-Servers.
   4. Authentifizierungs-Port: 1812
   5. Gemeinsames Geheimnis: Das gemeinsame Geheimnis Ihres RADIUS-Servers (siehe Abbildung 1-1)
   6. Integrationstyp: Lose Integration
5. Klicken Sie auf Verbindung testen. Geben Sie die Anmeldedaten Ihres Testbenutzers ein. Vergewissern Sie sich, dass Sie einen Benutzer mit aktivierter Mobile Application 2FA mit ESA verwenden. Wenn Sie zur Eingabe eines Passworts aufgefordert werden, fügen Sie das von der ESA-Mobilanwendung generierte OTP an Ihr AD-Passwort an. Wenn der Benutzer beispielsweise ein AD-Kennwort von Esa123 und ein OTP von 999111 hat, sollten Sie Esa123999111 eingeben.
6. Klicken Sie auf Verbindung testen. Sie sollten unten links eine Erfolgsmeldung sehen (siehe Abbildung 2-2). Fahren Sie nicht mit Schritt III fort, bevor der Verbindungstest erfolgreich war.

Abbildung 2-2

Schritt III - Aktivieren der ESA-Authentifizierung

1. Navigieren Sie im linken Bereich zu Identität → Authentifizierung → VPN.
2. Konfigurieren Sie die entsprechenden VPN-Authentifizierungsmethoden. Wählen Sie beispielsweise für die SSL-VPN-Authentifizierung "ESA RADIUS" als Authentifizierungsmethode, wie in Abbildung 3-1 dargestellt.
3. Klicken Sie auf Übernehmen und dann auf OK.

Abbildung 3-1

Schritt IV - Testen Sie die Verbindung

So testen Sie die neu konfigurierte Verbindung:

1. Navigieren Sie zu Ihrer Anmeldeseite.
2. Geben Sie die folgenden Anmeldedaten über Ihr Testkonto ein
   1. AD-Benutzername in das Feld Benutzername.
   2. AD-Passwort, verknüpft mit einem OTP aus ihrer ESA-Mobile-Anwendung in das Feld Passwort.

Fehlersuche

Wenn Sie sich nicht über den ESA RADIUS-Server authentifizieren können, stellen Sie sicher, dass Sie die folgenden Schritte durchgeführt haben:

1. Führen Sie einen Smoke-Test mit Ihrem RADIUS-Server durch, wie im Abschnitt Überprüfen der ESA RADIUS-Funktionalität beschrieben.
2. Wenn keine Fehler behoben wurden und Sie immer noch keine Verbindung herstellen können, kehren Sie zu einer bestehenden Anmeldekonfiguration zurück, die keine 2FA verwendet, und überprüfen Sie, ob Sie eine Verbindung herstellen können.
3. Wenn Sie mit den alten Einstellungen eine Verbindung herstellen können, stellen Sie die neuen Einstellungen wieder her und stellen Sie sicher, dass keine Firewall UDP 1812 zwischen Ihrem VPN-Gerät und Ihrem RADIUS-Server blockiert.
4. Wenn Sie immer noch keine Verbindung herstellen können, wenden Sie sich an den technischen Support von ESET.