[KB3473] Comment puis-je configurer mon appareil Cisco® ASA IPSec pour l'utiliser avec ESET Secure Authentication ?

NOTE:

Cette page a été traduite par un ordinateur. Cliquez sur English sous Languages sur cette page pour afficher le texte original. Si vous estimez que quelque chose n'est pas clair, veuillez contacter votre support local.

Solution

Introduction

Cet article explique comment configurer un périphérique Cisco® ASA IPSec pour authentifier les utilisateurs par rapport à un serveur ESA. Avant de poursuivre, vérifiez que vous avez installé le composant Serveur RADIUS d'ESET Secure Authentication et que vous pouvez accéder au service RADIUS qui permet aux systèmes externes d'authentifier les utilisateurs.

Avant que votre périphérique Cisco® ASA IPSec puisse utiliser le serveur ESA pour authentifier les utilisateurs via RADIUS, il doit être configuré en tant que client RADIUS sur le serveur ESA. Ensuite, votre serveur exécutant le service RADIUS ESA doit être configuré en tant que serveur RADIUS sur l'appareil Cisco® ASA IPSec. Une fois ces configurations spécifiées, vous pouvez commencer à vous connecter à votre périphérique Cisco® ASA IPSec à l'aide des OTP ESA.

REMARQUE :

Ce guide d'intégration utilise le Client ne valide pas le nom d'utilisateur et le mot de passe du type Client pour cet appareil VPN particulier. Si vous souhaitez utiliser un autre type de client, reportez-vous à generic description of Client types et vérifiez auprès du fournisseur si l'appareil VPN le prend en charge.

Étape I - Configuration du client RADIUS

Pour permettre à l'appareil Cisco® ASA IPSec de communiquer avec votre serveur ESA, vous devez configurer l'appareil Cisco® ASA IPSec en tant que client RADIUS sur votre serveur ESA :

  1. Connectez-vous à la console Web ESA.
  2. Naviguez vers Composants > RADIUS et recherchez le nom d'hôte du serveur exécutant le service RADIUS ESA.
  3. Cliquez sur le nom d'hôte, puis sur Create New Radius Client (Créer un nouveau client Radius).
  4. Dans la section Basic Settings (Paramètres de base)
    1. Donnez au client RADIUS un nom mémorable pour faciliter les références.
    2. Configurez l'adresse IP et le secret partagé pour le client afin qu'ils correspondent à la configuration de votre appareil VPN. L'adresse IP est l'adresse IP interne de votre appareil. Si votre appareil communique via IPv6, utilisez cette adresse IP ainsi que l'ID de portée (ID d'interface) correspondant.
    3. Le secret partagé est le secret partagé RADIUS pour l'authentificateur externe que vous configurerez sur votre appliance.
  5. Dans la section Authentification, appliquez les paramètres indiqués dans la figure 1-1 ci-dessous.

Configuration de votre client RADIUS

  • Pour éviter de bloquer les utilisateurs AD existants qui n'ont pas accès à l'authentification 2FA dans votre VPN, nous vous recommandons d'autoriser les utilisateurs qui n'ont pas accès à l'authentification 2FA au cours de la phase de transition. Il est également recommandé de limiter l'accès au VPN à un groupe de sécurité dans la section Utilisateurs.
  • Assurez-vous que la case à cocher en regard de l'application mobile est sélectionnée.

Figure 1-1

L'ESA est maintenant configuré pour communiquer avec l'appareil Cisco® ASA IPSec. Vous devez maintenant configurer l'appareil Cisco® ASA IPSec pour qu'il communique avec le serveur ESA .

Étape II - Confirmez votre périphérique Cisco® ASA

Suivez les étapes ci-dessous :

  1. Connectez-vous à votre Adaptime Services Device Manager.
  2. Naviguez vers Configuration Remote Access VPN.
  3. Cliquez sur Accès réseau (client), → Profils de connexion IPSec(IKEv1).
  4. Créez un nouveau profil de connexion
    1. Naviguez jusqu'à l'onglet Basic de la fenêtre IPSec Remote Access Connection Profile (Profil de connexion IPSec pour l'accès à distance).
    2. Sous IKE Peer Authentication, entrez la clé pré-partagée qui sera introduite dans le client VPN de chaque utilisateur final. Il doit s'agir d'un mot de passe fort.
    3. cliquez sur Manage (Gérer) dansla section Authentication (Authentification ).
    4. cliquez sur Ajouter sous Groupes de services AAA.
    5. Saisissez un nom pour votre nouveau groupe (par exemple, ESA-RADIUS), assurez-vous que le protocole est défini sur RADIUS, puis cliquez sur OK.
    6. Sélectionnez votre groupe de serveurs et cliquez sur Ajouter dans le panneau Serveurs du groupe sélectionné.
    7. Définissez les paramètres suivants aux valeurs indiquées ci-dessous (voir Figure 2-1)
      1. Nom de l'interface : L'interface ASA sur laquelle votre serveur RADIUS ESA est accessible
      2. Nom du serveur ou adresse IP : Le nom d'hôte ou l'adresse IP de votre serveur RADIUS ESA
      3. Timeout (Délai d'attente) : 30 secondes
      4. Port d'authentification du serveur : 1812
      5. Server Account Port : N/A since ESA does not support RADIUS accountint, but set to 1813
      6. Intervalle de réessai: 10 secondes
      7. Clé secrète du serveur : Le secret partagé de votre serveur RADIUS (voir Figure 1-1)
      8. Microsoft CHAPv2 Capable: Non sélectionné
    8. Cliquez sur OK.
    9. Cliquez sur OK.
    10. Cliquez sur PPP dans le panneau de gauche et assurez-vous que seul PAP est sélectionné.
    11. Cliquez sur Client Address Assignment (Attribution d'adresse client)
      1. Sélectionnez ou créez le pool DHCP que vous souhaitez utiliser.
      2. Cliquez sur OK.
    12. Cliquez sur la section Stratégie de groupe par défaut
      1. Sélectionnez la stratégie que vous souhaitez utiliser.
      2. Vérifiez que les options Activer le protocole IPSec et Activer le protocole IPSec L2TP sont sélectionnées.
    13. Cliquez sur OK.

Figure 2-1

Étape III - Tester la connexion

Pour tester la connexion nouvellement configurée :

  1. Assurez-vous que votre client VPN est correctement configuré
    1. Vérifiez que le bouton radio Authentification de groupe est sélectionné dans l'onglet Authentification des propriétés de connexion du client VPN.
    2. Assurez-vous que la clé pré-partagée utilisée à l'étape 4-b est saisie dans les deux champs de mot de passe.
  2. Connectez-vous à votre VPN IPSec à l'aide d'un compte pour lequel l'application mobile 2FA utilisant l'ESA est activée. Lorsque vous êtes invité à saisir un mot de passe, ajoutez l'OTP généré par l'application mobile à votre mot de passe AD. Par exemple, si l'utilisateur a un mot de passe AD Esa123 et un OTP de 999111, tapez Esa123999111.

Résolution des problèmes

Si vous ne parvenez pas à vous authentifier via le serveur RADIUS ESA, assurez-vous d'avoir effectué les étapes suivantes :

  1. Exécutez un test de fumée sur votre serveur RADIUS, conformément au document intitulé " Verifying ESA RADIUS Functionality" (vérification de la fonctionnalité du serveur RADIUS ESA ).
  2. Si aucune erreur n'a été corrigée et que vous ne parvenez toujours pas à vous connecter, revenez à une configuration d'ouverture de session existante (qui n'utilise pas 2FA) et vérifiez que vous pouvez vous connecter
  3. Si vous pouvez toujours vous connecter en utilisant les anciens paramètres, restaurez les nouveaux paramètres et vérifiez qu'aucun pare-feu ne bloque le protocole UDP 1812 entre votre appareil VPN et votre serveur RADIUS
  4. Si vous ne parvenez toujours pas à vous connecter, contactez le support technique d'ESET.
Dernière mise à jour: 24 févr. 2026

Ressources supplémentaires:

Aide en ligne

Forum ESET

Vidéos de la base de connaissances
ESET Status Portal ESET Technical Support

Client existant?