[KB3510] Cyberoam® (a Sophos company) UTM デバイスを ESET Secure Authentication で使用するための設定方法を教えてください。

はじめに

---

この記事では、Cyberoam® UTMアプライアンスを構成して、ESAサーバーに対してユーザーを認証する方法について説明します。Cyberoam® SSL VPN、Captive Portal、およびIPsec VPNアプリケーションがサポートされています。先に進む前に、ESET Secure AuthenticationのRADIUS Serverコンポーネントをインストールし、外部システムがユーザーを認証するためのRADIUSサービスにアクセスできることを確認してください。

Cyberoam® デバイスが ESA Server を使用して RADIUS 経由でユーザーを認証する前に、ESA Server 上で RADIUS クライアントとしてセットアップする必要があります。次に、ESA RADIUSサービスを実行しているサーバーをCyberoam®デバイス上のRADIUSサーバーとして設定する必要があります。これらの設定が完了すると、ESAワンタイムパスワードを使用してCyberoam®デバイスにログインできるようになります。

ステップ I - RADIUSクライアントの設定

---

Cyberoam®デバイスがESAサーバーと通信できるようにするには、ESAサーバー上でデバイスをRADIUSクライアントとして設定する必要があります：

1. ESA ウェブコンソールにログインします。
2. Components > RADIUSに移動し、ESA RADIUSサービスを実行しているサーバーのホスト名を探します。
3. ホスト名をクリックし、［Create New Radius Client］をクリックします。
4. 基本設定］セクションで
   1. RADIUSクライアントに覚えやすい名前を付けます。
   2. クライアントのIPアドレスと 共有シークレットをVPNアプライアンスの設定に対応するように設定します。IP アドレスは、アプライアンスの内部 IP アドレスです。アプライアンスが IPv6 経由で通信する場合は、関連するスコープ ID（インターフェース ID）と共にその IP アドレスを使用します。
   3. 共有シークレットは、アプライアンスで構成する外部認証機能の RADIUS 共有シークレットです。
5. 認証セクションで、以下の図 1-1 に示す設定を適用します。

図 1-1

これで ESA が Cyberoam®デバイスと 通信するように設定されました。 次に、 Cyberoam®デバイスが ESA サーバと通信するように 設定する必要があります。

ステップ II - Cyberoam® デバイスの RADIUS サーバー設定

---

以下の手順に従ってください：

1. 管理者としてCyberoam® Web Admin Consoleにログインする。
2. Identity →Authentication → Authentication Server に移動する。
3. Add をクリックする（図 2-1 を参照）。
   
   

   

   図 2-1

4. 以下を入力する：
   1. Server Type」ドロップダウンから「RADIUS Server」を選択する。
   2. Server Name（サーバー名）：このサーバーの名前（たとえば、ESA-RADIUS）。
   3. Server IP（サーバIP）：ESA RADIUSサーバのIPアドレス。
   4. 認証ポート：1812
   5. Shared Secret（共有シークレット）：RADIUSサーバーの共有シークレット（図1-1を参照）。
   6. 統合タイプ：緩やかな統合
5. Test Connection］をクリックします。テスト・ユーザーの認証情報を入力します。ESAを使用するモバイル・アプリケーション2FAが有効になっているユーザを使用していることを確認します。パスワードの入力を求められたら、ESAモバイル・アプリケーションが生成したOTPをADパスワードに追加します。たとえば、ユーザーのADパスワードがEsa123でOTPが999111の場合、Esa123999111と入力します。
6. Test Connection］をクリックします。左下に成功ステータス・メッセージが表示されるはずである（図 2-2 を参照）。接続テストが成功するまで、ステップ III に進まないでください。

図 2-2

ステップ III - ESA 認証の有効化

---

1. 左側のパネルで、「Identity→Authentication →VPN」に移動する。
2. 関連する VPN 認証方法を構成する。例えば、SSL VPN認証の場合、図3-1のように、認証方法として「ESA RADIUS」を選択する。
3. Apply」をクリックし、「 OK」をクリックする。

図 3-1

ステップ IV - 接続のテスト

---

新しく設定した接続をテストするには

1. サインインページに移動します。
2. テストアカウントを使用して、以下の認証情報を入力します：
   1. ユーザー名（Username）フィールドにADユーザー名を入力します。
   2. パスワード」フィールドに、ESAモバイル・アプリケーションからのOTPを結合したADパスワードを入力します。

---

トラブルシューティング

ESA RADIUSサーバで認証できない場合は、以下の手順を実行していることを確認します：

1. ESA RADIUS機能の検証」に従って、RADIUSサーバに対してスモーク・テストを実行します。
2. 障害が修正されず、まだ接続できない場合は、2FAを使用しない既存のサインイン構成に戻し、接続できることを確認する。
3. 古い設定を使用して接続できる場合は、新しい設定を復元し、VPNデバイスとRADIUSサーバー間のUDP 1812をブロックしているファイアウォールがないことを確認してください。
4. それでも接続できない場合は、ESETのテクニカルサポートにお問い合わせください。