[KB3472] Как настроить устройство Barracuda SSL VPN™ для работы с ESET Secure Authentication?

Barracuda SSL VPN™ - это интегрированное программно-аппаратное решение, обеспечивающее безопасный удаленный доступ к ресурсам внутренней сети без участия клиентов через любой веб-браузер, а с помощью ESET Secure Authentication (ESA) можно легко повысить уровень безопасности за счет второго фактора аутентификации.

Введение

В этой статье описывается, как настроить Barracuda SSL VPN™ для аутентификации пользователей на сервере ESA. Прежде чем продолжить, убедитесь, что вы установили компонент RADIUS Server для ESET Secure Authentication и можете получить доступ к службе RADIUS, которая позволяет внешним системам аутентифицировать пользователей.

Прежде чем устройство Barracuda SSL VPN™ сможет использовать сервер ESA Server для аутентификации пользователей через RADIUS, оно должно быть настроено как клиент RADIUS на сервере ESA Server. Затем ваш сервер, на котором запущена служба ESA RADIUS, должен быть настроен как сервер RADIUS на устройстве Barracuda SSL VPN™. После выполнения этих настроек вы можете начать вход в систему Barracuda SSL VPN™ с помощью ОТР ESA.

Шаг I - Настройка клиента RADIUS

Протокол RADIUS требует, чтобы запросы доступа к серверам RADIUS включали IP-адрес клиента RADIUS (например, устройства Barracuda SSL VPN™).

Чтобы устройство Barracuda SSL VPN™ могло взаимодействовать с сервером ESA, необходимо настроить его как клиента RADIUS на сервере ESA RADIUS Server:

1. Войдите в веб-консоль ESA.
2. Перейдите в раздел Компоненты > RADIUS и найдите имя хоста сервера, на котором запущена служба ESA RADIUS.
3. Щелкните имя хоста, а затем нажмите кнопку Создать новый клиент Radius.
4. В разделе Основные параметры
   1. Дайте клиенту RADIUS запоминающееся имя для удобства использования.
   2. Настройте IP-адрес и общий секрет клиента так, чтобы они соответствовали конфигурации вашего VPN-устройства. IP-адрес - это внутренний IP-адрес вашего устройства. Если устройство работает по протоколу IPv6, используйте этот IP-адрес вместе с соответствующим идентификатором диапазона (идентификатором интерфейса).
   3. Общий секрет - это общий секрет RADIUS для внешнего аутентификатора, который вы настроите на своем устройстве.
5. В разделе Аутентификация примените настройки, показанные на рисунке 1-1 ниже.

Рисунок 1-1

Теперь ESA настроена на взаимодействие с устройством Barracuda SSL VPN™. Теперь необходимо настроить устройство Barracuda SSL VPN™ для связи с сервером ESA. Сначала создайте новую схему аутентификации, а затем настройте параметры для сервера RADIUS.

Шаг II - Создание новой схемы аутентификации

Чтобы создать общий секрет новой схемы аутентификации, выполните следующие действия:

1. Войдите в административный интерфейс Barracuda
2. Перейдите в раздел Управление системой → Контроль доступа → Схемы аутентификации
3. Создайте новую схему, используя следующие значения:
   
   Имя: "ESA RADIUS"
   Выбранные модули: Добавьте "RADIUS" из списка "Доступные модули"
   Выбранные политики: Добавьте применимые политики из списка "Доступные политики"
   
   
4. Нажмите кнопку Добавить.

Шаг III - Настройка параметров сервера RADIUS

Находясь в интерфейсе администратора, выполните следующие действия:

1. Перейдите в раздел Управление системой → Контроль доступа → Конфигурация
2. В разделе RADIUS установите следующие значения параметров:
   
   Сервер RADIUS: IP-адрес RADIUS-сервера ESA
   Резервные серверы RADIUS: Добавьте все резервные серверы ESA RADIUS, которые вы настроили, или оставьте пустым
   Порт аутентификации: 1812
   Общий секрет: тот же общий секрет, который вы определили в части I
   Метод аутентификации: PAP
   Тайм-аут: 30
   Повторные попытки аутентификации: 2
   Отклонить вызов: Нет
   
   
3. Нажмите Сохранить изменения
4. Протестируйте настройку, перейдя на URL, который вы обычно используете для входа в SSL VPN. Введите учетные данные тестового пользователя:
   
   - Убедитесь, что вы используете пользователя, которому разрешен 2FA для мобильных приложений с помощью ESA
   - В поле пароля добавьте OTP, сгенерированный мобильным приложением, к паролю AD. Например, если у пользователя пароль AD "Blink182", а OTP - 999111, введите Blink182999111

Устранение неполадок

Если вам не удается пройти аутентификацию через сервер ESA RADIUS, убедитесь, что вы выполнили следующие действия:

1. Проведите дымовой тест на сервере RADIUS в соответствии с разделом Проверка работоспособности ESA RADIUS.
2. Если неисправности не были устранены и вы по-прежнему не можете подключиться, вернитесь к существующей конфигурации входа (которая не использует 2FA) и убедитесь, что вы можете подключиться
3. Если вы все еще не можете подключиться, используя старые настройки, восстановите новые настройки и убедитесь, что брандмауэр не блокирует UDP 1812 между вашим VPN-устройством и сервером RADIUS
4. Если вы по-прежнему не можете подключиться, обратитесь в службу технической поддержки ESET.