[KB3510] Jak skonfigurować urządzenie UTM Cyberoam® (firmy Sophos) do użytku z ESET Secure Authentication?

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Rozwiązanie

Wprowadzenie

W tym artykule opisano, jak skonfigurować urządzenie Cyberoam® UTM do uwierzytelniania użytkowników na serwerze ESA. Obsługiwane są aplikacje Cyberoam® SSL VPN, Captive Portal i IPsec VPN. Przed kontynuowaniem należy upewnić się, że zainstalowano komponent serwera RADIUS programu ESET Secure Authentication i można uzyskać dostęp do usługi RADIUS, która umożliwia zewnętrznym systemom uwierzytelnianie użytkowników.

Zanim urządzenie Cyberoam® będzie mogło używać serwera ESA do uwierzytelniania użytkowników za pośrednictwem usługi RADIUS, musi zostać skonfigurowane jako klient usługi RADIUS na serwerze ESA. Następnie serwer z uruchomioną usługą ESA RADIUS musi zostać skonfigurowany jako serwer RADIUS na urządzeniu Cyberoam®. Po określeniu tych konfiguracji można rozpocząć logowanie do urządzenia Cyberoam® przy użyciu OTP ESA.

UWAGA:

Ten przewodnik integracji wykorzystuje klienta, który nie weryfikuje nazwy użytkownika i hasła typu klienta dla tego konkretnego urządzenia VPN. Jeśli chcesz użyć innego typu klienta, zapoznaj się z generic description of Client types i sprawdź u dostawcy, czy urządzenie VPN je obsługuje.

Krok I - Konfiguracja klienta RADIUS

Aby umożliwić urządzeniu Cyberoam® komunikację z serwerem ESA, należy skonfigurować urządzenie jako klienta RADIUS na serwerze ESA:

  1. Zaloguj się do ESA Web Console.
  2. Przejdź do sekcji Komponenty > RADIUS i znajdź nazwę hosta serwera z uruchomioną usługą ESA RADIUS.
  3. Kliknij nazwę hosta, a następnie kliknij przycisk Create New Radius Client.
  4. W sekcji Ustawienia podstawowe
    1. Nadaj klientowi RADIUS łatwą do zapamiętania nazwę.
    2. Skonfiguruj adres IP i wspólny klucz tajny dla klienta tak, aby odpowiadały konfiguracji urządzenia VPN. Adres IP to wewnętrzny adres IP urządzenia. Jeśli urządzenie komunikuje się za pośrednictwem protokołu IPv6, należy użyć tego adresu IP wraz z powiązanym identyfikatorem zakresu (identyfikatorem interfejsu).
    3. Współdzielony klucz tajny to współdzielony klucz tajny usługi RADIUS dla zewnętrznego uwierzytelniacza, który zostanie skonfigurowany na urządzeniu.
  5. W sekcji Uwierzytelnianie zastosuj ustawienia pokazane na rysunku 1-1 poniżej.

Konfiguracja klienta usługi RADIUS

  • Aby zapobiec zablokowaniu istniejących użytkowników AD nieobsługujących uwierzytelniania dwuskładnikowego w sieci VPN, zalecamy zezwolenie użytkownikom nieobsługującym uwierzytelniania dwuskładnikowego na fazę przejściową. Zaleca się również ograniczenie dostępu VPN do grupy zabezpieczeń w sekcji Użytkownicy.
  • Upewnij się, że pole wyboru obok opcji Uwierzytelnianie złożone jest zaznaczone.

Rysunek 1-1

ESA została skonfigurowana do komunikacji z urządzeniem Cyberoam®. Teraz należy skonfigurować urządzenie Cyberoam® do komunikacji z serwerem ESA.

Krok II - Skonfiguruj ustawienia serwera RADIUS dla urządzenia Cyberoam®

Wykonaj poniższe czynności:

  1. Zaloguj się do konsoli Cyberoam® Web Admin Console jako administrator.
  2. Przejdź do opcji Tożsamość Uwierzytelnianie Serwer uwierzytelniania.
  3. Kliknij przycisk Dodaj (patrz Rysunek 2-1).

    Rysunek 2-1

  4. Wprowadź następujące dane
    1. Wybierz RADIUS Server z rozwijanej listy Server Type.
    2. Nazwa serwera: Nazwa tego serwera (na przykład ESA-RADIUS).
    3. Server IP: Adres IP serwera ESA RADIUS.
    4. Port uwierzytelniania: 1812
    5. Shared Secret: Współdzielony klucz tajny serwera RADIUS (patrz Rysunek 1-1)
    6. Typ integracji: Luźna integracja
  5. Kliknij Testuj połączenie. Wprowadź poświadczenia użytkownika testowego. Upewnij się, że używasz użytkownika z włączoną funkcją 2FA aplikacji mobilnej przy użyciu ESA. Gdy pojawi się monit o hasło, dołącz OTP wygenerowany przez aplikację mobilną ESA do hasła AD. Na przykład, jeśli użytkownik ma hasło AD Esa123 i OTP 999111, należy wpisać Esa123999111.
  6. Kliknij Testuj połączenie. W lewym dolnym rogu powinien pojawić się komunikat o powodzeniu (patrz Rysunek 2-2). Nie przechodź do kroku III, dopóki test łączności nie zakończy się pomyślnie.

Rysunek 2-2

Krok III - Włączanie uwierzytelniania ESA

  1. W lewym panelu przejdź do TożsamośćUwierzytelnianie VPN.
  2. Skonfiguruj odpowiednie metody uwierzytelniania VPN. Na przykład dla uwierzytelniania SSL VPN wybierz "ESA RADIUS" jako metodę uwierzytelniania, zgodnie z rysunkiem 3-1.
  3. Kliknij Zastosuj, a następnie OK.

Rysunek 3-1

Krok IV - Przetestuj połączenie

Aby przetestować nowo skonfigurowane połączenie:

  1. Przejdź do strony logowania.
  2. Wprowadź następujące poświadczenia, używając konta testowego
    1. Nazwa użytkownika AD w polu Nazwa użytkownika.
    2. Hasło AD połączone z OTP z aplikacji ESA Mobile w polu Hasło.

Rozwiązywanie problemów

Jeśli nie możesz uwierzytelnić się za pomocą serwera ESA RADIUS, upewnij się, że wykonałeś następujące kroki:

  1. Uruchom test dymu na serwerze RADIUS, zgodnie z Weryfikacja funkcjonalności ESA RADIUS.
  2. Jeśli żadne błędy nie zostały naprawione i nadal nie możesz się połączyć, powróć do istniejącej konfiguracji logowania, która nie używa 2FA i sprawdź, czy możesz się połączyć.
  3. Jeśli możliwe jest połączenie przy użyciu starych ustawień, przywróć nowe ustawienia i sprawdź, czy zapora sieciowa nie blokuje protokołu UDP 1812 między urządzeniem VPN a serwerem RADIUS.
  4. Jeśli nadal nie możesz się połączyć, skontaktuj się z pomocą techniczną ESET.

Ostatnio zaktualizowany: 20 lut 2026

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?