[KB3510] Como configuro meu dispositivo UTM Cyberoam® (uma empresa Sophos) para uso com o ESET Secure Authentication?

Introdução

Este artigo descreve como configurar um dispositivo Cyberoam® UTM para autenticar usuários em um servidor ESA. Os aplicativos Cyberoam® SSL VPN, Captive Portal e IPsec VPN são suportados. Antes de continuar, verifique se você instalou o componente Servidor RADIUS do ESET Secure Authentication e se pode acessar o serviço RADIUS que permite que sistemas externos autentiquem usuários.

Antes que o dispositivo Cyberoam® possa usar o Servidor ESA para autenticar usuários via RADIUS, ele deve ser configurado como um cliente RADIUS no Servidor ESA. Em seguida, o seu servidor que executa o serviço ESA RADIUS deve ser configurado como um servidor RADIUS no dispositivo Cyberoam®. Depois que essas configurações forem especificadas, você poderá começar a fazer login no seu dispositivo Cyberoam® usando OTPs da ESA.

Etapa I - Configuração do cliente RADIUS

Para permitir que o dispositivo Cyberoam® se comunique com o seu servidor ESA, você deve configurar o dispositivo como um cliente RADIUS no seu servidor ESA:

1. Faça login no Console da Web da ESA.
2. Navegue até Components (Componentes) > RADIUS (RADIUS ) e localize o nome do host do servidor que está executando o serviço ESA RADIUS.
3. Clique no nome do host e, em seguida, clique em Create New Radius Client (Criar novo cliente Radius).
4. Na seção Basic Settings (Configurações básicas)
   1. Dê ao cliente RADIUS um nome memorável para facilitar a referência.
   2. Configure o endereço IP e o segredo compartilhado para o cliente de modo que correspondam à configuração do seu dispositivo VPN. O endereço IP é o endereço IP interno de seu dispositivo. Se o seu dispositivo se comunicar via IPv6, use esse endereço IP junto com o ID de escopo relacionado (ID de interface).
   3. O segredo compartilhado é o segredo compartilhado RADIUS para o autenticador externo que você configurará no seu dispositivo.
5. Na seção Authentication (Autenticação ), aplique as configurações mostradas na Figura 1-1 abaixo.

Figura 1-1

O ESA agora foi configurado para se comunicar com o dispositivo Cyberoam® . Agora, você deve configurar o dispositivo Cyberoam® para se comunicar com o servidor ESA.

Etapa II - Configurar as definições do servidor RADIUS para o dispositivo Cyberoam

Siga as etapas abaixo:

1. Faça login no Cyberoam® Web Admin Console como administrador.
2. Navegue até Identity → Authentication → Authentication Server ( Identidade → Autenticação → Servidor de autenticação).
3. Clique em Add (Adicionar ) (consulte a Figura 2-1).
   
   

   

   Figura 2-1

4. Digite o seguinte
   1. Selecione Servidor RADIUS no menu suspenso Tipo de servidor.
   2. Nome do servidor: Um nome para esse servidor (por exemplo, ESA-RADIUS).
   3. Server IP (IP do servidor): o endereço IP do servidor ESA RADIUS.
   4. Porta de autenticação: 1812
   5. Shared Secret (Segredo compartilhado): o segredo compartilhado do servidor RADIUS (consulte a Figura 1-1)
   6. Tipo de integração: Loose Integration (Integração livre)
5. Clique em Testar conexão. Digite as credenciais do seu usuário de teste. Certifique-se de que esteja usando um usuário com o aplicativo móvel 2FA usando ESA ativado. Quando for solicitada uma senha, anexe a OTP gerada pelo aplicativo móvel ESA à sua senha do AD. Por exemplo, se o usuário tiver uma senha do AD de Esa123 e uma OTP de 999111, você deverá digitar Esa123999111.
6. Clique em Testar conexão. Você deverá ver uma mensagem de status de sucesso no canto inferior esquerdo (consulte a Figura 2-2). Não prossiga para a Etapa III até que o teste de conectividade seja bem-sucedido.

Figura 2-2

Etapa III - Ativar a autenticação ESA

1. No painel esquerdo, navegue até Identidade → Autenticação → VPN.
2. Configure os métodos de autenticação de VPN relevantes. Por exemplo, para a autenticação de VPN SSL, selecione "ESA RADIUS" como o método de autenticação, conforme a Figura 3-1.
3. Clique em Aplicar e, em seguida, em OK.

Figura 3-1

Etapa IV - Testar a conexão

Para testar a conexão recém-configurada:

1. Navegue até sua página de login.
2. Digite as seguintes credenciais usando sua conta de teste
   1. Nome de usuário do AD no campo Username (Nome de usuário ).
   2. Senha do AD, concatenada com um OTP do aplicativo ESA Mobile no campo Password (Senha).

Solução de problemas

Se você não conseguir se autenticar por meio do servidor ESA RADIUS, verifique se executou as etapas a seguir:

1. Execute um teste de fumaça em seu servidor RADIUS, conforme descrito em Verificação da funcionalidade do ESA RADIUS.
2. Se nenhuma falha tiver sido corrigida e você ainda não conseguir se conectar, reverta para uma configuração de login existente que não use a 2FA e verifique se consegue se conectar.
3. Se você conseguir se conectar usando as configurações antigas, restaure as novas configurações e verifique se não há nenhum firewall bloqueando o UDP 1812 entre o dispositivo VPN e o servidor RADIUS.
4. Se ainda não conseguir se conectar, entre em contato com o suporte técnico da ESET.