[KB3562] Wie konfiguriere ich mein Microsoft Forefront Threat Management Gateway für die Verwendung mit ESET Secure Authentication?

Mit ESET Secure Authentication können Sie Ihrem Microsoft® TMG Server einen zweiten Faktor für veröffentlichte Webressourcen oder VPN-Verbindungen hinzufügen.

Einführung

Dieser Artikel beschreibt, wie Sie einen Microsoft® Forefront Threat Management Gateway-Server so konfigurieren, dass er Benutzer gegenüber einem ESA-Server authentifiziert. Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die RADIUS-Server-Komponente von ESET Secure Authentication installiert haben und auf den RADIUS-Dienst zugreifen können, der es externen Systemen ermöglicht, Benutzer zu authentifizieren.

Bevor Ihr TMG-Server den ESA-Server zur Authentifizierung von Benutzern über RADIUS nutzen kann, muss er als RADIUS-Client auf dem ESA-Server eingerichtet werden. Anschließend muss Ihr Server, auf dem der ESA-RADIUS-Dienst läuft, als RADIUS-Server auf dem TMG-Server eingerichtet werden. Sobald diese Konfigurationen festgelegt sind, können Sie sich mit Hilfe von ESA-OTPs bei Ihrer TMG-VPN- oder Web-Ressource anmelden.

Schritt I - RADIUS-Client-Konfiguration

Das RADIUS-Protokoll erfordert, dass Zugriffsanfragen an RADIUS-Server die IP-Adresse des RADIUS-Clients (z. B. Ihres Microsoft® TMG Servers) enthalten.

Damit der Microsoft® TMG Server mit Ihrem ESA-Server kommunizieren kann, müssen Sie den TMG Server als RADIUS-Client auf Ihrem ESA RADIUS-Server konfigurieren:

1. Melden Sie sich bei der ESA Web Console an.
2. Navigieren Sie zu Komponenten > RADIUS und suchen Sie den Hostnamen des Servers, auf dem der ESA RADIUS Service läuft.
3. Klicken Sie auf den Hostnamen und dann auf Neuen Radius-Client erstellen.
4. Im Abschnitt Grundeinstellungen
   1. Geben Sie dem RADIUS-Client einen einprägsamen Namen, damit er leicht zu finden ist.
   2. Konfigurieren Sie die IP-Adresse und das Shared Secret für den Client so, dass sie mit der Konfiguration Ihrer VPN-Appliance übereinstimmen. Die IP-Adresse ist die interne IP-Adresse Ihrer Appliance. Wenn Ihre Appliance über IPv6 kommuniziert, verwenden Sie diese IP-Adresse zusammen mit der zugehörigen Scope-ID (Schnittstellen-ID).
   3. Das Shared Secret ist das RADIUS-Shared Secret für den externen Authentifikator, den Sie auf Ihrer Appliance konfigurieren werden.
5. Nehmen Sie im Abschnitt Authentifizierung die in Abbildung 1-1 unten dargestellten Einstellungen vor.

Abbildung 1-1

ESA wurde nun für die Kommunikation mit dem Microsoft® Forefront TMG Server konfiguriert. Sie müssen nun entweder einen Microsoft® TMG Server Web Listener konfigurieren, um mit dem ESA-Server zu kommunizieren, oder Sie müssen den Microsoft® TMG Server VPN Client Access für die Kommunikation mit dem ESA-Server konfigurieren.

Anweisungen zur Konfiguration eines Web-Listeners finden Sie in Schritt II unten.

Anweisungen zur Konfiguration des VPN-Client-Zugriffs finden Sie in Schritt III unten.

Schritt II - Konfigurieren eines Web-Listeners

Führen Sie die folgenden Schritte aus, um Ihren Web-Listener zu konfigurieren:

1. Starten Sie den Forefront TMG Manager.
2. Erweitern Sie Forefront TMG, und navigieren Sie zu Firewall-Richtlinie.
3. Klicken Sie mit der rechten Maustaste auf die entsprechende Firewall-Regel (die mit diesem Web-Listener verbundene Regel), und wählen Sie im Kontextmenü die Option Eigenschaften.
4. Navigieren Sie zur Registerkarte Listener, wählen Sie diesen Web-Listener aus dem Dropdown-Menü aus und klicken Sie auf Eigenschaften.
5. Navigieren Sie zur Registerkarte Authentifizierung und wählen Sie HTML-Formular-Authentifizierung aus dem Dropdown-Menü im Abschnitt Client-Authentifizierungsmethode.
6. Wählen Sie im Abschnitt Authentifizierungsvalidierungsmethode die Optionsschaltfläche RADIUS aus und klicken Sie dann auf"Validierungsserver konfigurieren..."
7. Klicken Sie auf Hinzufügen, um Ihren ESA-RADIUS-Server wie folgt zu konfigurieren:
   
   Servername: der Hostname oder die IP-Adresse Ihres ESA-RADIUS-Servers
   Serverbeschreibung: ein freundlicher Name für Ihren Server
   Gemeinsames Geheimnis: das gemeinsame Geheimnis, das Sie in Schritt I konfiguriert haben
   Authentifizierungs-Port: 1812
   Zeitüberschreitung: 30 Sekunden
8. Klicken Sie auf OK und dann erneut auf OK , um Ihre Änderungen zu speichern.
9. Klicken Sie auf Übernehmen , um Ihre Serverkonfiguration zu aktualisieren (siehe Abbildung 2-1)

Abbildung 2-1

Navigieren Sie zu der URL, die Sie für die Anmeldung verwenden, und geben Sie Ihre Testanmeldedaten ein, um zu überprüfen, ob der Listenführer konfiguriert wurde:

• Stellen Sie sicher, dass Sie einen Benutzer verwenden, der für Mobile Application 2FA mit ESA aktiviert wurde.
• Fügen Sie im Passwortfeld das von der mobilen Anwendung generierte OTP an Ihr AD-Passwort an. Wenn der Benutzer zum Beispiel ein AD-Kennwort von "ABCD" und ein OTP von 111999 hat, geben Sie ABCD111999 ein.

Schritt III - Konfigurieren Sie Ihren VPN-Client-Zugang

Führen Sie die folgenden Schritte aus, um Ihren VPN-Client-Zugang zu konfigurieren:

1. Starten Sie den Forefront TMG Manager
2. Erweitern Sie Forefront TMG, und navigieren Sie zu Remote Access Policy (VPN)
3. Klicken Sie im rechten Fensterbereich auf Authentifizierungsmethoden auswählen
4. Navigieren Sie zur Registerkarte Authentifizierung. Wählen Sie entweder PAP oder MS-CHAPv2, wie in Abbildung 3-1 dargestellt.
5. Navigieren Sie zur Registerkarte RADIUS und stellen Sie sicher, dass das Kontrollkästchen RADIUS für die Authentifizierung verwenden aktiviert ist (siehe Abbildung 3-2)
   

   

   Abbildung 3-1

6. Klicken Sie auf RADIUS-Server... und wählen Sie Ihren zuvor konfigurierten ESA-RADIUS-Server aus oder klicken Sie auf Hinzufügen..., um Ihren ESA-RADIUS-Server wie folgt zu konfigurieren:
   
   Servername: der Hostname oder die IP-Adresse Ihres ESA RADIUS-Servers
   Serverbeschreibung: ein freundlicher Name für Ihren Server
   Gemeinsames Geheimnis: das gemeinsame Geheimnis, das Sie in Schritt I konfiguriert haben
   Authentifizierungs-Port: 1812
   Zeitüberschreitung: 30 Sekunden
7. Klicken Sie auf OK und erneut auf OK .

Nachdem alle Änderungen gespeichert wurden, klicken Sie erneut auf Übernehmen , um die Konfiguration des Servers zu aktualisieren (siehe Abbildung 3-3)

Abbildung 3-2

Testen Sie die Einrichtung, indem Sie den VPN-Client starten, den Sie normalerweise für die Verbindung zu TMG verwenden. Geben Sie die Anmeldedaten Ihres Testbenutzers ein:

• Stellen Sie sicher, dass Sie einen Benutzer verwenden, der für Mobile Application 2FA mit ESA aktiviert wurde.
• Fügen Sie im Feld Passwort das von der mobilen Anwendung generierte OTP an Ihr AD-Passwort an. Wenn der Benutzer zum Beispiel ein AD-Kennwort von "ABCD" und ein OTP von 111999 hat, geben Sie ABCD111999 ein.

Fehlersuche

Wenn Sie sich nicht über den ESA-RADIUS-Server authentifizieren können, stellen Sie sicher, dass Sie die folgenden Schritte durchgeführt haben:

1. Führen Sie einen Smoke-Test mit Ihrem RADIUS-Server durch, wie unter Überprüfen der ESA-RADIUS-Funktionalität beschrieben.
2. Wenn keine Fehler behoben wurden und Sie immer noch keine Verbindung herstellen können, kehren Sie zu einer bestehenden Anmeldekonfiguration zurück (die keine 2FA verwendet) und überprüfen Sie, ob Sie eine Verbindung herstellen können
3. Wenn Sie mit den alten Einstellungen immer noch eine Verbindung herstellen können, stellen Sie die neuen Einstellungen wieder her und stellen Sie sicher, dass keine Firewall UDP 1812 zwischen Ihrem VPN-Gerät und Ihrem RADIUS-Server blockiert
4. Wenn Sie immer noch keine Verbindung herstellen können, wenden Sie sich an den technischen Support von ESET.