[KB3481] Hur konfigurerar jag min Cisco® ASA SSL VPN-enhet för användning med ESET Secure Authentication?

OBS:

Den här sidan har översatts av en dator. Klicka på engelska under Språk på den här sidan för att se originaltexten. Om du tycker att något är oklart, kontakta din lokala support.

Lösning

Introduktion

I den här artikeln beskrivs hur du konfigurerar en Cisco® ASA SSL VPN-enhet för autentisering av användare mot en ESA-server. Innan du fortsätter bör du kontrollera att du har installerat RADIUS Server-komponenten i ESET Secure Authentication och att du har åtkomst till RADIUS-tjänsten som gör det möjligt för externa system att autentisera användare.

Innan din Cisco® ASA SSL VPN-enhet kan använda ESA-servern för att autentisera användare via RADIUS måste den konfigureras som en RADIUS-klient på ESA-servern. Därefter måste din server som kör ESA RADIUS-tjänsten konfigureras som en RADIUS-server på Cisco® ASA SSL VPN-enheten. När dessa konfigurationer har specificerats kan du börja logga in på din Cisco® ASA SSL VPN-enhet med hjälp av ESA OTP:er.

OBSERVERA:

Den här integrationsguiden använder Client validerar inte användarnamn och lösenord Client-typen för just den här VPN-apparaten. Om du vill använda en annan klienttyp, se generisk beskrivning av klienttyper och kontrollera med leverantören om VPN-apparaten stöder den.

Steg I - Konfiguration av RADIUS-klient

För att Cisco® ASA SSL VPN-enheten ska kunna kommunicera med din ESA-server måste du konfigurera Cisco® ASA SSL VPN-enheten som en RADIUS-klient på din ESA-server:

  1. Logga in på ESA Web Console.
  2. Navigera till Komponenter > RADIUS och leta reda på värdnamnet för den server som kör ESA RADIUS-tjänsten.
  3. Klicka på värdnamnet och klicka sedan på Create New Radius Client.
  4. I avsnittet Grundläggande inställningar
    1. Ge RADIUS-klienten ett minnesvärt namn så att den blir lätt att hitta.
    2. Konfigurera IP-adressen och den delade hemligheten för klienten så att de motsvarar konfigurationen för din VPN-appliance. IP-adressen är den interna IP-adressen för din enhet. Om apparaten kommunicerar via IPv6 använder du den IP-adressen tillsammans med det relaterade scope-ID:t (gränssnitts-ID).
    3. Den delade hemligheten är den delade RADIUS-hemligheten för den externa autentiseraren som du kommer att konfigurera på din enhet.
  5. I avsnittet Authentication gör du de inställningar som visas i Figur 1-1 nedan.

Konfigurera din RADIUS-klient

  • För att förhindra att befintliga, icke-2FA-aktiverade AD-användare låses ute från ditt VPN rekommenderar vi att du tillåter Non-2FA-användare under övergångsfasen. Vi rekommenderar också att du begränsar VPN-åtkomsten till en säkerhetsgrupp i avsnittet Users.
  • Se till att kryssrutan bredvid Mobile Application är markerad.

Bild 1-1

ESA har nu konfigurerats för att kommunicera med Cisco® ASA SSL VPN-enheten. Du måste nu konfigurera Cisco® ASA SSL VPN-enheten för att kommunicera med ESA-servern.

Steg II - Konfigurera din Cisco® ASA-enhet

Följ stegen nedan:

  1. Logga in på din Adaptime Services Device Manager.
  2. Navigera till Konfiguration Fjärråtkomst VPN.
  3. Klicka på Clientless SSL VPN Connection Profiles och kontrollera att kryssrutan under Allow access är markerad i det aktuella gränssnittet (se Figur 2-1, steg 1).
  4. Klicka på Lägg till under Anslutningsprofiler (se Figur 2-1, steg 2)
    1. Navigera till fliken Basic i fönstret Add Clientless Remote Access Connection Profile.
    2. Ange ett namn för anslutningsprofilen (t.ex. ESA).
    3. Kontrollera att autentiseringsmetoden är inställd på Endast AAA.
    4. Klicka på Manage i avsnittet Authentication och definiera en ny servicegrupp
      1. Klicka på Add under AAA Service Groups.
      2. Ange ett namn för den nya gruppen (t.ex. ESA-RADIUS), se till att protokollet är RADIUS och klicka på OK.
      3. Välj din servergrupp och klicka på Add i panelen Servers in selected group (Servrar i vald grupp ).
      4. Ställ in följande parametrar till de värden som visas nedan (se Figur 2-2)
        1. Interface Name (Gränssnittsnamn): Det ASA-gränssnitt som ESA RADIUS-servern kan nås via
        2. Servernamn eller IP-adress: Värdnamn/IP-adress för din ESA RADIUS-server
        3. Tidsgräns: 30 sekunder
        4. Serverns autentiseringsport: 1812
        5. Server AccountPort: N/A eftersom ESA inte stöder RADIUS accountint, men inställd på 1813
        6. Retry Interval: 10 sekunder
        7. Serverns hemliga nyckel: Din RADIUS-servers delade hemlighet (se Figur 1-1)
        8. Microsoft CHAPv2-kompatibel: Ej vald
      5. Klicka på OK
      6. Klicka på OK

Bild 2-1

Bild 2-2

Steg III - Testa anslutningen

För att testa den nyligen konfigurerade anslutningen:

  1. Anslut till din ASA VPN med ett konto där Mobile Application 2FA med ESA är aktiverat. När du uppmanas att ange ett lösenord lägger du till OTP:n som genererats av Mobile Application till ditt AD-lösenord. Om användaren till exempel har ett AD-lösenord på Esa123 och en OTP på 999111, skriv Esa123999111.

Felsökning

Om du inte kan autentisera via ESA RADIUS-servern ska du kontrollera att du har utfört följande steg:

  1. Kör ett rökprov mot din RADIUS-server, enligt Verifiera ESA RADIUS-funktionalitet.
  2. Om inga fel har åtgärdats och du fortfarande inte kan ansluta, återgå till en befintlig inloggningskonfiguration (som inte använder 2FA) och kontrollera att du kan ansluta
  3. Om du fortfarande kan ansluta med de gamla inställningarna återställer du de nya inställningarna och kontrollerar att det inte finns någon brandvägg som blockerar UDP 1812 mellan VPN-enheten och RADIUS-servern
  4. Om du fortfarande inte kan ansluta kontaktar du ESET:s tekniska support.
Uppdaterades senast: 2026 njuk 11

Mer resurser

Användarguider

ESET forum

YouTube-videor
ESET Status Portal ESET Technical Support

Befintlig kund?