[KB3510] Як налаштувати UTM-пристрій Cyberoam® (компанія Sophos) для використання з ESET Secure Authentication?

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Рішення

Вступ

У цій статті описано, як налаштувати пристрій Cyberoam® UTM для автентифікації користувачів на сервері ESA. Підтримуються програми Cyberoam® SSL VPN, Captive Portal та IPsec VPN. Перш ніж продовжити, переконайтеся, що ви встановили компонент RADIUS Server в ESET Secure Authentication і маєте доступ до служби RADIUS, яка дозволяє зовнішнім системам автентифікувати користувачів.

Перш ніж пристрій Cyberoam® зможе використовувати сервер ESA для автентифікації користувачів за допомогою RADIUS, його потрібно налаштувати як клієнт RADIUS на сервері ESA. Далі, ваш сервер, на якому працює служба ESA RADIUS, повинен бути налаштований як сервер RADIUS на пристрої Cyberoam®. Після того, як ці конфігурації будуть вказані, ви можете почати вхід на пристрій Cyberoam® за допомогою OTP-серверів ESA.

ПРИМІТКА:

У цьому посібнику з інтеграції використовується тип клієнта " Клієнт не перевіряє ім'я користувача та пароль " для цього конкретного VPN-пристрою. Якщо ви бажаєте використовувати інший тип клієнта, зверніться до загальний опис типів клієнтів і перевірте у постачальника, чи підтримує його пристрій VPN...

Крок I - Налаштування RADIUS-клієнта

Щоб дозволити пристрою Cyberoam® взаємодіяти з вашим сервером ESA, ви повинні налаштувати пристрій як RADIUS-клієнт на вашому сервері ESA:

  1. Увійдіть до веб-консолі ESA.
  2. Перейдіть до Компоненти > RADIUS і знайдіть ім'я хоста сервера, на якому запущено службу ESA RADIUS.
  3. Клацніть ім'я хоста, а потім натисніть Створити нового клієнта радіуса.
  4. У розділі Основні параметри
    1. Дайте клієнту RADIUS ім'я, яке легко запам'ятовується.
    2. Налаштуйте IP-адресу і спільний секрет для клієнта так, щоб вони відповідали конфігурації вашого VPN-пристрою. IP-адреса - це внутрішня IP-адреса вашого пристрою. Якщо ваш пристрій взаємодіє через IPv6, використовуйте цю IP-адресу разом із відповідним ідентифікатором діапазону (ідентифікатором інтерфейсу).
    3. Спільний секрет - це спільний секрет RADIUS для зовнішнього автентифікатора, який ви налаштуєте на своєму пристрої.
  5. У розділі Автентифікація застосуйте налаштування, показані на Рисунку 1-1 нижче.

Налаштування клієнта RADIUS

  • Щоб запобігти блокуванню будь-яких існуючих користувачів AD, які не підтримують 2FA, у вашій VPN, ми рекомендуємо дозволити користувачам Non-2FA під час перехідного періоду. Також рекомендується обмежити доступ до VPN групою безпеки в розділі Користувачі.
  • Переконайтеся, що позначка навпроти пункту Складна автентифікація встановлена.

Малюнок 1-1

Тепер ESA налаштовано на зв'язок із пристроєм Cyberoam®. Тепер ви повинні налаштувати пристрій Cyberoam® для зв'язку з сервером ESA.

Крок II - Налаштування параметрів сервера RADIUS для вашого пристрою Cyberoam®

Виконайте наведені нижче кроки:

  1. Увійдіть до веб-консолі адміністратора Cyberoam® як адміністратор.
  2. Перейдіть до Ідентифікація Автентифікація Сервер автентифікації.
  3. Натисніть Додати (див. Рисунок 2-1).

    Малюнок 2-1

  4. Введіть наступні дані
    1. Виберіть RADIUS-сервер зі спадного списку Тип сервера.
    2. Ім'я сервера: Ім'я цього сервера (наприклад, ESA-RADIUS).
    3. IP-адреса сервера: IP-адреса вашого сервера ESA RADIUS.
    4. Порт автентифікації: 1812
    5. Загальнийсекрет: Загальний секрет вашого сервера RADIUS (див. Рисунок 1-1)
    6. Тип інтеграції: Вільна інтеграція
  5. Натисніть Тестове підключення. Введіть облікові дані вашого тестового користувача. Переконайтеся, що ви використовуєте користувача з увімкненим мобільним додатком 2FA з використанням ESA. Коли з'явиться запит на введення пароля, додайте OTP, згенерований мобільним додатком ESA, до вашого пароля AD. Наприклад, якщо користувач має пароль AD Esa123 та OTP 999111, введіть Esa123999111.
  6. Натисніть на кнопку Перевірити з'єднання. Ви повинні побачити повідомлення про успішне підключення в нижньому лівому кутку (див. Малюнок 2-2). Не переходьте до Кроку III, поки тест підключення не буде успішним.

Малюнок 2-2

Крок III - Увімкніть автентифікацію ESA

  1. На лівій панелі перейдіть до ІдентифікаціяАвтентифікація VPN.
  2. Налаштуйте відповідні методи автентифікації VPN. Наприклад, для автентифікації SSL VPN виберіть "ESA RADIUS" як метод автентифікації, як показано на малюнку 3-1.
  3. Натисніть Застосувати, а потім ОК.

Малюнок 3-1

Крок IV - Перевірте з'єднання

Щоб протестувати щойно налаштоване з'єднання:

  1. Перейдіть на сторінку входу.
  2. Введіть наступні облікові дані, використовуючи свій тестовий обліковий запис
    1. Ім'я користувача AD у полі Ім'я користувача.
    2. Пароль AD, поєднаний з OTP з мобільного додатку ESA Mobile у полі Password.

Вирішення проблем

Якщо вам не вдається автентифікуватися через сервер ESA RADIUS, переконайтеся, що ви виконали наведені нижче кроки:

  1. Запустіть димовий тест на вашому сервері RADIUS, як зазначено в розділі Перевірка функціональності ESA RADIUS.
  2. Якщо несправності не було виправлено, але ви все одно не можете підключитися, поверніться до існуючої конфігурації входу, яка не використовує 2FA, і перевірте, чи можете ви підключитися.
  3. Якщо ви можете підключитися зі старими налаштуваннями, відновіть нові налаштування і переконайтеся, що брандмауер не блокує UDP 1812 між вашим VPN-пристроєм і вашим RADIUS-сервером.
  4. Якщо вам все одно не вдасться підключитися, зверніться до служби технічної підтримки ESET.

Останнє оновлення: Apr 17, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?