[KB3481] Як налаштувати пристрій Cisco® ASA SSL VPN для використання з ESET Secure Authentication?

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Рішення

Вступ

У цій статті описано, як налаштувати пристрій Cisco® ASA SSL VPN для автентифікації користувачів на сервері ESA. Перш ніж продовжити, переконайтеся, що ви встановили компонент RADIUS Server в ESET Secure Authentication і маєте доступ до служби RADIUS, яка дозволяє зовнішнім системам автентифікувати користувачів.

Перш ніж пристрій Cisco® ASA SSL VPN зможе використовувати сервер ESA для автентифікації користувачів за допомогою RADIUS, його потрібно налаштувати як клієнта RADIUS на сервері ESA. Потім ваш сервер, на якому запущено службу ESA RADIUS, потрібно налаштувати як сервер RADIUS на пристрої Cisco® ASA SSL VPN. Після того, як ці конфігурації будуть вказані, ви можете почати вхід на пристрій Cisco® ASA SSL VPN за допомогою OTP-серверів ESA.

ПРИМІТКА:

У цьому посібнику з інтеграції використовується тип клієнта " Клієнт не перевіряє ім'я користувача та пароль " для цього конкретного VPN-пристрою. Якщо ви хочете використовувати інший тип клієнта, зверніться до загальний опис типів клієнтів і перевірте у постачальника, чи підтримує його пристрій VPN.

Крок I - Налаштування клієнта RADIUS

Щоб дозволити пристрою Cisco® ASA SSL VPN взаємодіяти з вашим сервером ESA Server, ви повинні налаштувати пристрій Cisco® ASA SSL VPN як RADIUS-клієнт на вашому сервері ESA Server:

  1. Увійдіть до веб-консолі ESA.
  2. Перейдіть до Компоненти > RADIUS і знайдіть ім'я хоста сервера, на якому запущено службу ESA RADIUS.
  3. Клацніть ім'я хоста, а потім натисніть Створити нового клієнта радіуса.
  4. У розділі Основні параметри
    1. Дайте клієнту RADIUS ім'я, яке легко запам'ятовується.
    2. Налаштуйте IP-адресу і спільний секрет для клієнта так, щоб вони відповідали конфігурації вашого VPN-пристрою. IP-адреса - це внутрішня IP-адреса вашого пристрою. Якщо ваш пристрій взаємодіє через IPv6, використовуйте цю IP-адресу разом із відповідним ідентифікатором діапазону (ідентифікатором інтерфейсу).
    3. Спільний секрет - це спільний секрет RADIUS для зовнішнього автентифікатора, який ви налаштуєте на своєму пристрої.
  5. У розділі Автентифікація застосуйте налаштування, показані на Рисунку 1-1 нижче.

Налаштування клієнта RADIUS

  • Щоб запобігти блокуванню будь-яких існуючих користувачів AD, які не підтримують 2FA, у вашій VPN, ми рекомендуємо дозволити користувачам Non-2FA під час перехідного періоду. Також рекомендується обмежити доступ до VPN групою безпеки в розділі Користувачі.
  • Переконайтеся, що прапорець навпроти пункту Мобільний додаток встановлено.

Малюнок 1-1

Тепер ESA налаштовано на зв'язок із пристроєм Cisco® ASA SSL VPN. Тепер вам потрібно налаштувати пристрій Cisco® ASA SSL VPN для зв'язку з сервером ESA.

Крок II - Налаштування пристрою Cisco® ASA

Виконайте наведені нижче кроки:

  1. Увійдіть до диспетчера пристроїв Adaptime Services.
  2. Перейдіть до Конфігурація Віддалений доступ VPN.
  3. Клацніть Безклієнтська SSL VPN Профілі підключень і переконайтеся, що прапорець під Дозволити доступ встановлений на відповідному інтерфейсі (див. Рисунок 2-1, крок 1).
  4. Натисніть Додати в розділі Профілі підключення (див. Рисунок 2-1, крок 2)
    1. Перейдіть на вкладку Основні у вікні Додавання профілю підключення віддаленого доступу без клієнта.
    2. Введіть назву профілю підключення (наприклад, ESA).
    3. Переконайтеся, що метод автентифікації встановлено лише на AAA.
    4. Натисніть Керування в розділі Автентифікація і визначте нову групу обслуговування
      1. Натисніть Додати в розділі Групи обслуговування AAA.
      2. Введіть назву нової групи (наприклад, ESA-RADIUS), переконайтеся, що протокол встановлено на RADIUS, і натисніть OK.
      3. Виберіть групу серверів і натисніть кнопку Додати на панелі Сервери у вибраній групі.
      4. Встановіть для наступних параметрів значення, показані нижче (див. Рисунок 2-2)
        1. Ім'я інтерфейсу: Інтерфейс ASA, через який можна отримати доступ до сервера ESA RADIUS
        2. Ім'я сервера або IP-адреса: Ім'я хоста/IP-адреса вашого сервера ESA RADIUS
        3. Таймаут: 30 секунд
        4. Порт автентифікації сервера: 1812
        5. Порт облікового запису сервера: не вказано, оскільки ESA не підтримує RADIUS accountint, але встановлено на 1813
        6. Інтервал повторних спроб: 10 секунд
        7. Секретний ключ сервера: Загальний секретний ключ вашого сервера RADIUS (див. Рисунок 1-1)
        8. Підтримка Microsoft CHAPv2: Не вибрано
      5. Натисніть OK
      6. Натисніть OK

Малюнок 2-1

Малюнок 2-2

Крок III - Тестування з'єднання

Щоб протестувати щойно налаштоване з'єднання:

  1. Підключіться до вашої ASA VPN за допомогою облікового запису з мобільного додатку 2FA з увімкненим ESA. Коли з'явиться запит на введення пароля, додайте OTP, згенерований мобільним додатком, до вашого пароля AD. Наприклад, якщо користувач має пароль AD Esa123 і OTP 999111, введіть Esa123999111.

Вирішення проблем

Якщо вам не вдається автентифікуватися через сервер ESA RADIUS, переконайтеся, що ви виконали наведені нижче кроки:

  1. Запустіть димовий тест на сервері RADIUS, як описано в розділі Перевірка функціональності ESA RADIUS.
  2. Якщо несправності не було виправлено, але ви все одно не можете підключитися, поверніться до існуючої конфігурації входу (яка не використовує 2FA) і перевірте, чи можете ви підключитися
  3. Якщо ви все ще можете підключитися, використовуючи старі налаштування, відновіть нові налаштування і переконайтеся, що брандмауер не блокує UDP 1812 між вашим VPN-пристроєм і RADIUS-сервером
  4. Якщо вам все одно не вдається підключитися, зверніться до служби технічної підтримки ESET.
Останнє оновлення: Apr 17, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?