[KB3481] Как настроить устройство Cisco® ASA SSL VPN для использования ESET Secure Authentication?

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Решение

Введение

В этой статье описывается настройка устройства Cisco® ASA SSL VPN для аутентификации пользователей на сервере ESA. Прежде чем продолжить, убедитесь, что вы установили компонент RADIUS Server в ESET Secure Authentication и можете получить доступ к службе RADIUS, которая позволяет внешним системам аутентифицировать пользователей.

Прежде чем устройство Cisco® ASA SSL VPN сможет использовать ESA Server для аутентификации пользователей через RADIUS, оно должно быть настроено как клиент RADIUS на ESA Server. Затем ваш сервер, на котором запущена служба ESA RADIUS, должен быть настроен как сервер RADIUS на устройстве Cisco® ASA SSL VPN. После выполнения этих настроек можно приступать к входу в устройство Cisco® ASA SSL VPN с использованием ПЦП ESA.

ПРИМЕЧАНИЕ:

В данном руководстве по интеграции используется клиент без подтверждения имени пользователя и пароля типа Client для данного конкретного VPN-устройства. Если вы хотите использовать другой тип клиента, обратитесь к общее описание типов клиентов и уточните у производителя, поддерживает ли его VPN-устройство.

Шаг I - Настройка клиента RADIUS

Чтобы позволить устройству Cisco® ASA SSL VPN взаимодействовать с вашим ESA Server, необходимо настроить устройство Cisco® ASA SSL VPN в качестве клиента RADIUS на вашем ESA Server:

  1. Войдите в веб-консоль ESA.
  2. Перейдите в раздел Компоненты > RADIUS и найдите имя хоста сервера, на котором запущена служба ESA RADIUS.
  3. Щелкните имя хоста, а затем нажмите кнопку Создать новый клиент Radius.
  4. В разделе Основные параметры
    1. Дайте клиенту RADIUS запоминающееся имя для удобства использования.
    2. Настройте IP-адрес и общий секрет клиента так, чтобы они соответствовали конфигурации вашего VPN-устройства. IP-адрес - это внутренний IP-адрес вашего устройства. Если устройство работает по протоколу IPv6, используйте этот IP-адрес вместе с соответствующим идентификатором диапазона (идентификатором интерфейса).
    3. Общий секрет - это общий секрет RADIUS для внешнего аутентификатора, который вы настроите на своем устройстве.
  5. В разделе Аутентификация примените настройки, показанные на рисунке 1-1 ниже.

Настройка клиента RADIUS

  • Чтобы не допустить блокировки существующих пользователей AD, не имеющих доступа к VPN по протоколу 2FA, мы рекомендуем разрешить пользователям не использовать 2FA на этапе перехода. Также рекомендуется ограничить доступ к VPN группой безопасности в разделе Пользователи.
  • Убедитесь, что флажок рядом с Mobile Application установлен.

Рисунок 1-1

Теперь ESA настроена на взаимодействие с устройством Cisco® ASA SSL VPN. Теперь необходимо настроить устройство Cisco® ASA SSL VPN для связи с сервером ESA.

Шаг II - Настройка устройства Cisco® ASA

Выполните следующие действия:

  1. Войдите в диспетчер устройств Adaptime Services.
  2. Перейдите в раздел Конфигурация Удаленный доступ VPN.
  3. Нажмите Clientless SSL VPN Connection Profiles и убедитесь, что флажок Allow access установлен на соответствующем интерфейсе (см. Рисунок 2-1, шаг 1).
  4. Нажмите Добавить в разделе Профили подключений (см. Рисунок 2-1, шаг 2)
    1. Перейдите на вкладку Основные в окне Добавить профиль подключения Clientless Remote Access.
    2. Введите имя профиля подключения (например, ESA).
    3. Убедитесь, что для метода аутентификации установлено значение AAA only.
    4. Нажмите Управление в разделе Аутентификация и определите новую группу служб
      1. Нажмите Add (Добавить ) в разделе AAA Service Groups (Группы служб AAA).
      2. Введите имя новой группы (например, ESA-RADIUS), убедитесь, что для протокола установлено значение RADIUS, и нажмите OK.
      3. Выберите группу серверов и нажмите Добавить на панели Серверы в выбранной группе.
      4. Установите следующие параметры в значения, указанные ниже (см. Рисунок 2-2)
        1. Имя интерфейса: Интерфейс ASA, через который можно связаться с сервером ESA RADIUS
        2. Имя сервера или IP-адрес: Имя хоста/IP-адрес вашего сервера ESA RADIUS
        3. Таймаут: 30 секунд
        4. Порт аутентификации сервера: 1812
        5. Порт учетной записи сервера: N/A, так как ESA не поддерживает RADIUS accountint, но установлен на 1813
        6. Интервал повторных попыток: 10 секунд
        7. Секретный ключ сервера: Ваш общий секрет сервера RADIUS (см. Рисунок 1-1)
        8. Microsoft CHAPv2 Capable: Не выбрано
      5. Нажмите OK
      6. Нажмите OK

Рисунок 2-1

Рисунок 2-2

Шаг III - Проверка соединения

Чтобы протестировать только что настроенное соединение:

  1. Подключитесь к ASA VPN, используя учетную запись с включенным мобильным приложением 2FA с использованием ESA. Когда появится запрос на ввод пароля, добавьте OTP, сгенерированный мобильным приложением, к паролю AD. Например, если у пользователя пароль AD - Esa123, а OTP - 999111, введите Esa123999111.

Устранение неполадок

Если вам не удается пройти аутентификацию через сервер ESA RADIUS, убедитесь, что вы выполнили следующие действия:

  1. Проведите дымовой тест на сервере RADIUS, как описано в разделе Проверка функциональности ESA RADIUS.
  2. Если неисправности не были устранены и вы по-прежнему не можете подключиться, вернитесь к существующей конфигурации входа (которая не использует 2FA) и убедитесь, что вы можете подключиться
  3. Если вы все еще не можете подключиться, используя старые настройки, восстановите новые настройки и убедитесь, что брандмауэр не блокирует UDP 1812 между вашим VPN-устройством и сервером RADIUS
  4. Если вы по-прежнему не можете подключиться, обратитесь в службу технической поддержки ESET.
Last Updated: 9 мар. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?