[KB3510] Comment puis-je configurer mon appareil UTM Cyberoam® (une société Sophos) pour l'utiliser avec ESET Secure Authentication ?

Introduction

Cet article décrit comment configurer un appareil UTM de Cyberoam® pour authentifier les utilisateurs par rapport à un serveur ESA. Les applications Cyberoam® SSL VPN, Captive Portal et IPsec VPN sont prises en charge. Avant de poursuivre, vérifiez que vous avez installé le composant Serveur RADIUS d'ESET Secure Authentication et que vous pouvez accéder au service RADIUS qui permet aux systèmes externes d'authentifier les utilisateurs.

Avant que votre périphérique Cyberoam® puisse utiliser le serveur ESA pour authentifier les utilisateurs via RADIUS, il doit être configuré en tant que client RADIUS sur le serveur ESA. Ensuite, votre serveur exécutant le service RADIUS ESA doit être configuré en tant que serveur RADIUS sur le périphérique Cyberoam®. Une fois ces configurations spécifiées, vous pouvez commencer à vous connecter à votre appareil Cyberoam® à l'aide des OTP ESA.

Étape I - Configuration du client RADIUS

Pour permettre au dispositif Cyberoam® de communiquer avec votre serveur ESA, vous devez configurer le dispositif en tant que client RADIUS sur votre serveur ESA :

1. Connectez-vous à la console Web ESA.
2. Naviguez vers Composants > RADIUS et localisez le nom d'hôte du serveur exécutant le service RADIUS ESA.
3. Cliquez sur le nom d'hôte, puis sur Create New Radius Client (Créer un nouveau client Radius).
4. Dans la section Paramètres de base
   1. Donnez au client RADIUS un nom mémorable pour faciliter les références.
   2. Configurez l'adresse IP et le secret partagé pour le client afin qu'ils correspondent à la configuration de votre appareil VPN. L'adresse IP est l'adresse IP interne de votre appareil. Si votre appareil communique via IPv6, utilisez cette adresse IP ainsi que l'ID de portée (ID d'interface) correspondant.
   3. Le secret partagé est le secret partagé RADIUS pour l'authentificateur externe que vous configurerez sur votre appliance.
5. Dans la section Authentification, appliquez les paramètres indiqués dans la figure 1-1 ci-dessous.

Figure 1-1

ESA a maintenant été configuré pour communiquer avec le dispositif Cyberoam®. Vous devez maintenant configurer le périphérique Cyberoam® pour qu'il communique avec le serveur ESA.

Étape II - Configurer les paramètres du serveur RADIUS pour votre appareil Cyberoam

Suivez les étapes ci-dessous :

1. Connectez-vous à la console d'administration Web de Cyberoam® en tant qu'administrateur.
2. Naviguez vers Identité → Authentification → Serveur d'authentification.
3. Cliquez sur Ajouter (voir Figure 2-1).
   
   

   

   Figure 2-1

4. Saisissez les informations suivantes
   1. Sélectionnez Serveur RADIUS dans la liste déroulante Type de serveur.
   2. Server Name (Nom du serveur): Nom de ce serveur (par exemple, ESA-RADIUS).
   3. Server IP: L'adresse IP de votre serveur RADIUS ESA.
   4. Port d'authentification: 1812
   5. Shared Secret: Le secret partagé de votre serveur RADIUS (voir Figure 1-1)
   6. Type d'intégration: Intégration souple
5. Cliquez sur Test Connection. Saisissez les informations d'identification de votre utilisateur test. Assurez-vous que vous utilisez un utilisateur pour lequel l'application mobile 2FA utilisant ESA est activée. Lorsque vous êtes invité à saisir un mot de passe, ajoutez l'OTP généré par l'application mobile ESA à votre mot de passe AD. Par exemple, si le mot de passe AD de l'utilisateur est Esa123 et l'OTP 999111, vous devez taper Esa123999111.
6. Cliquez sur Test Connection. Vous devriez voir un message d'état de réussite en bas à gauche (voir figure 2-2). Ne passez pas à l'étape III tant que le test de connectivité n'est pas réussi.

Figure 2-2

Étape III - Activer l'authentification ESA

1. Dans le panneau de gauche, naviguez vers Identité → Authentification → VPN.
2. Configurez les méthodes d'authentification VPN appropriées. Par exemple, pour l'authentification VPN SSL, sélectionnez "ESA RADIUS" comme méthode d'authentification, conformément à la figure 3-1.
3. Cliquez sur Apply (Appliquer), puis sur OK.

Figure 3-1

Étape IV - Tester la connexion

Pour tester la connexion nouvellement configurée :

1. Accédez à votre page de connexion.
2. Saisissez les informations d'identification suivantes à l'aide de votre compte de test
   1. Nom d'utilisateur AD dans le champ Nom d'utilisateur.
   2. Mot de passe AD, concaténé avec un OTP de leur application ESA Mobile dans le champ Mot de passe.

Résolution des problèmes

Si vous ne parvenez pas à vous authentifier via le serveur RADIUS ESA, assurez-vous d'avoir effectué les étapes suivantes :

1. Exécutez un test de fumée sur votre serveur RADIUS, conformément à la section Vérification de la fonctionnalité du serveur RADIUS de l'ESA.
2. Si aucune erreur n'a été corrigée et que vous ne parvenez toujours pas à vous connecter, revenez à une configuration d'ouverture de session existante qui n'utilise pas l'option 2FA et vérifiez que vous pouvez vous connecter.
3. Si vous pouvez vous connecter en utilisant les anciens paramètres, restaurez les nouveaux paramètres et vérifiez qu'aucun pare-feu ne bloque le protocole UDP 1812 entre votre appareil VPN et votre serveur RADIUS.
4. Si vous ne parvenez toujours pas à vous connecter, contactez le support technique d'ESET.