[KB3481] Cisco® ASA SSL VPN デバイスを ESET Secure Authentication で使用するように設定するにはどうすればよいですか?

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

ソリューション

はじめに

この記事では、Cisco® ASA SSL VPN デバイスを構成して、ESA サーバに対してユーザーを認証する方法について説明します。先に進む前に、ESET Secure Authentication の RADIUS Server コンポーネントがインストールされており、外部システムがユーザーを認証するための RADIUS サービスにアクセスできることを確認してください。

Cisco® ASA SSL VPN デバイスが ESA Server を使用して RADIUS 経由でユーザーを認証する前に、ESA Server 上で RADIUS クライアントとしてセットアップする必要があります。次に、ESA RADIUSサービスを実行しているサーバーを、Cisco® ASA SSL VPNデバイスのRADIUSサーバーとして設定する必要があります。これらの設定が指定されると、ESA OTPを使用してCisco® ASA SSL VPNデバイスへのログインを開始できます。

注意

この統合ガイドでは、この特定のVPNアプライアンスのユーザー名とパスワードのクライアントタイプを検証しません。他のクライアントタイプを使用したい場合は、クライアントタイプの一般的な説明を参照し、VPNアプライアンスがサポートしているかベンダーに確認してください。

ステップI - RADIUSクライアントの設定

Cisco® ASA SSL VPNデバイスがESAサーバーと通信できるようにするには、ESAサーバーでCisco® ASA SSL VPNデバイスをRADIUSクライアントとして設定する必要があります:

  1. ESA Web Consoleにログインします。
  2. Components > RADIUSに移動し、ESA RADIUSサービスを実行しているサーバーのホスト名を見つけます。
  3. ホスト名をクリックし、[Create New Radius Client]をクリックします。
  4. 基本設定]セクションで
    1. RADIUSクライアントに覚えやすい名前を付けます。
    2. クライアントのIPアドレスと 共有シークレットをVPNアプライアンスの設定に対応するように設定します。IP アドレスは、アプライアンスの内部 IP アドレスです。アプライアンスが IPv6 経由で通信する場合は、関連するスコープ ID(インターフェース ID)と共にその IP アドレスを使用します。
    3. 共有シークレットは、アプライアンスで構成する外部認証機能の RADIUS 共有シークレットです。
  5. 認証セクションで、以下の図 1-1 に示す設定を適用します。

RADIUS クライアントの設定

  • 既存の非 2FA 対応 AD ユーザが VPN からロックアウトされるのを防ぐため、移行段階では非 2FA ユーザを許可することを推奨します。また、「Users」セクションでVPNアクセスをセキュリティ・グループに制限することを推奨します。
  • Mobile Application」の隣にあるチェックボックスが選択されていることを確認してください。

図 1-1

これで、ESA は Cisco® ASA SSL VPN デバイスと 通信するように設定されました。 次に、 Cisco® ASA SSL VPN デバイスが ESA サーバと通信するように 設定する必要があります。

ステップ II - Cisco® ASA デバイスの設定

以下の手順に従ってください:

  1. Adaptime Services Device Managerにログインします。
  2. Configuration Remote Access VPN に移動します。
  3. Clientless SSL VPN Connection Profilesをクリックし、該当するインターフェースでAllow accessの下のチェックボックスが選択されていることを確認します(図2-1、ステップ1参照)。
  4. 接続プロファイル」の下にある「追加」をクリックします(図 2-1 の手順 2 を参照)。
    1. クライアントレスリモートアクセス接続プロファイルの追加] ウィンドウの [基本]タブに移動します。
    2. 接続プロファイルの名前を入力します(例:ESA)。
    3. 認証方法がAAAのみに設定されていることを確認します。
    4. 認証]セクションの[管理]をクリックし、新しいサービスグループを定義します:
      1. AAAサービスグループ]の下にある[追加]をクリックします。
      2. 新しいグループの名前(ESA-RADIUSなど)を入力し、プロトコルがRADIUSに設定されていることを確認して、[OK]をクリックします。
      3. サーバー・グループを選択し、[選択したグループのサーバー]パネルで[追加]をクリックします。
      4. 以下のパラメータを以下の値に設定する(図2-2参照):
        1. インタフェース名: ESA RADIUSサーバにアクセスできるASAインタフェース。
        2. Server Name(サーバ名)またはIP Address(IPアドレス):ESA RADIUSサーバのホスト名/IPアドレス
        3. タイムアウト: 30秒
        4. サーバー認証ポート: 1812
        5. サーバ・アカウント・ポート: ESAはRADIUSアカウントをサポートしていないため、該当なし。
        6. 再試行間隔: 10 秒
        7. サーバー秘密鍵:RADIUS サーバ共有秘密鍵 (図 1-1 参照)
        8. Microsoft CHAPv2 Capable:選択しない
      5. OKをクリックします。
      6. OKをクリックします。

図2-1

図2-2

ステップIII - 接続のテスト

新しく設定した接続をテストするには、以下の手順に従います:

  1. ESA を使用するモバイル・アプリケーション 2FA を有効にしたアカウントを使用して、ASA VPN に接続します。パスワードの入力を求められたら、モバイル・アプリケーションによって生成されたOTPをADパスワードに追加します。たとえば、ユーザーのADパスワードがEsa123、OTPが999111の場合、「Esa123999111」と入力します。

トラブルシューティング

ESA RADIUSサーバで認証できない場合は、次の手順を実行してください:

  1. ESA RADIUS 機能の検証」に従って、RADIUS サーバに対してスモーク・テストを実行します。
  2. 障害が修正されず、まだ接続できない場合は、(2FAを使用しない)既存のサインイン構成に戻して、接続できることを確認する。
  3. 古い設定を使用しても接続できる場合は、新しい設定を復元し、VPNデバイスとRADIUSサーバー間のUDP 1812をブロックしているファイアウォールがないことを確認します。
  4. それでも接続できない場合は、ESETのテクニカルサポートにお問い合わせください
日本語 Japanese
Dansk
English
Slovenský
前回更新日: Apr 11, 2025

その他のリソース

ユーザーガイド

ESETフォーラム

YouTube動画

サポートニュース カスタマーアドバイザリー ESET Status Portal ESETテクニカルサポートへのお問い合わせ

既存の顧客?