[KB3473] Cisco® ASA IPSec デバイスを ESET Secure Authentication で使用するための設定方法は?

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

ソリューション

はじめに

この記事では、Cisco® ASA IPSec デバイスを構成して、ESA サーバに対してユーザを認証する方法について説明します。先に進む前に、ESET Secure Authentication の RADIUS Server コンポーネントがインストールされており、外部システムがユーザーを認証するための RADIUS サービスにアクセスできることを確認してください。

Cisco® ASA IPSec デバイスが ESA サーバを使用して RADIUS 経由でユーザを認証する前に、ESA サーバ上で RADIUS クライアントとしてセットアップする必要があります。次に、ESA RADIUS サービスを実行しているサーバーを、Cisco® ASA IPSec デバイスの RADIUS サーバーとしてセットアップする必要があります。これらの設定が指定されると、ESA OTP を使用して Cisco® ASA IPSec デバイスへのログインを開始できます。

注意

この統合ガイドでは、この特定の VPN アプライアンスに対して、クライアントがユーザー名とパスワー ドのクライアントタイプを検証していません。他のクライアントタイプを使用したい場合は、クライアントタイプの一般的な説明を参照し、VPNアプライアンスがサポートしているかベンダーに確認してください。

ステップ I - RADIUS クライアントの設定

Cisco® ASA IPSec デバイスが ESA サーバと通信できるようにするには、Cisco® ASA IPSec デバイスを ESA サーバ上で RADIUS クライアントとして設定する必要があります:

  1. ESA ウェブコンソールにログインします。
  2. Components > RADIUSに移動し、ESA RADIUSサービスを実行しているサーバーのホスト名を探します。
  3. ホスト名をクリックし、[Create New Radius Client]をクリックします。
  4. 基本設定]セクションで
    1. RADIUSクライアントに覚えやすい名前を付けます。
    2. クライアントのIPアドレスと 共有シークレットをVPNアプライアンスの設定に対応するように設定します。IP アドレスは、アプライアンスの内部 IP アドレスです。アプライアンスが IPv6 経由で通信する場合は、関連するスコープ ID(インターフェース ID)と共にその IP アドレスを使用します。
    3. 共有シークレットは、アプライアンスで構成する外部認証機能の RADIUS 共有シークレットです。
  5. 認証セクションで、以下の図 1-1 に示す設定を適用します。

RADIUS クライアントの設定

  • 既存の非 2FA 対応 AD ユーザが VPN からロックアウトされるのを防ぐため、移行段階では非 2FA ユーザを許可することを推奨します。また、「Users」セクションでVPNアクセスをセキュリティ・グループに制限することを推奨します。
  • Mobile Application」の隣にあるチェックボックスが選択されていることを確認してください。

図 1-1

これで、ESA は Cisco® ASA IPSec デバイスと 通信するように設定されました。 次に Cisco® ASA IPSec デバイスが ESA サーバと通信するように 設定する必要があります

ステップ II - Cisco® ASA デバイスの設定

以下の手順に従ってください:

  1. Adaptime Services Device Manager にログインします。
  2. Configuration Remote Access VPN に移動します。
  3. Network (client) AccessIPSec(IKEv1) Connection Profiles をクリックします。
  4. 新しい接続プロファイルを作成します:
    1. IPSecリモートアクセス接続プロファイル]ウィンドウの[基本]タブに移動します。
    2. IKEピア認証の下に、各エンドユーザーのVPNクライアントに入力される事前共有キーを入力します。これは強力なパスワードである必要があります。
    3. 認証]セクションで[管理]をクリックします。
    4. AAA Service Groupsの下にあるAddを クリックします。
    5. 新しいグループの名前(例:ESA-RADIUS)を入力し、プロトコルがRADIUSに設定されていることを確認してから、「OK」をクリックします。
    6. サーバー・グループを選択し、[選択したグループのサーバー]パネルで[追加]をクリックします。
    7. 以下のパラメータを以下の値に設定する(図2-1参照):
      1. インタフェース名: ESA RADIUSサーバにアクセスできるASAインタフェース。
      2. Server Name(サーバ名)またはIP Address(IPアドレス):ESA RADIUSサーバーのホスト名/IPアドレス
      3. タイムアウト: 30秒
      4. サーバー認証ポート: 1812
      5. サーバ・アカウント・ポート: ESAはRADIUSアカウントをサポートしていないため、該当なし。
      6. 再試行間隔: 10 秒
      7. サーバー秘密鍵:RADIUS サーバからの共有秘密鍵 (図 1-1 を参照)
      8. Microsoft CHAPv2 Capable:選択しない
    8. OK をクリックします。
    9. OK をクリックします。
    10. 左側のパネルでPPPをクリックし、PAPのみが選択されていることを確認します。
    11. クライアントアドレス割り当て]をクリックします:
      1. 使用する DHCP プールを選択または作成します。
      2. OK] をクリックします。
    12. デフォルト・グループ・ポリシー]セクションをクリックします:
      1. 使用するポリシーを選択します。
      2. IPSec プロトコルを有効にする]とL2TP IPSec プロトコルを有効にする]が選択されていることを確認します。
    13. OK]をクリックします。

図 2-1

ステップIII - 接続のテスト

新しく設定された接続をテストするには

  1. VPNクライアントが正しく設定されていることを確認します:
    1. VPNクライアントの接続プロパティの「認証」タブで「グループ認証」ラジオボタンが選択されていることを確認する。
    2. ステップ4-bで使用した事前共有キーが両方のパスワードフィールドに入力されていることを確認する。
  2. ESAを使用したモバイルアプリケーション2FAが有効になっているアカウントを使用して、IPSec VPNに接続します。パスワードの入力を求められたら、モバイル・アプリケーションによって生成されたOTPをADパスワードに追加します。たとえば、ユーザーのADパスワードがEsa123でOTPが999111の場合、Esa123999111と入力します。

トラブルシューティング

ESA RADIUSサーバで認証できない場合は、次の手順を実行してください:

  1. Verifying ESA RADIUS Functionality」のドキュメントに従って、RADIUS サーバに対してスモーク・テストを実行します。
  2. 障害が修正されず、まだ接続できない場合は、(2FAを使用しない)既存のサインイン構成に戻して、接続できることを確認する。
  3. 古い設定を使用しても接続できる場合は、新しい設定を復元し、VPNデバイスとRADIUSサーバー間のUDP 1812をブロックしているファイアウォールがないことを確認します。
  4. それでも接続できない場合は、ESETのテクニカルサポートにお問い合わせください
日本語 Japanese
Dansk
English
Español
前回更新日: Apr 11, 2025

その他のリソース

ユーザーガイド

ESETフォーラム

YouTube動画

サポートニュース カスタマーアドバイザリー ESET Status Portal ESETテクニカルサポートへのお問い合わせ

既存の顧客?