Cisco ASAゲートウェイの構成

このタスクでは、RADIUS Serverプロファイルを定義し、Okta RADIUSエージェントの認証プロファイルを定義し、Okta RADIUS認証プロファイルをゲートウェイに適用し、ポータルを設定してOkta RADIUS認証プロファイルを使用します。

手順

  1. AAAサーバーグループの定義
  2. AAAサーバーのAAAサーバーグループへの追加
  3. AAAサーバーグループを使用するためのAnyConnect接続プロファイルの変更
  4. タイムアウトを延長するためのAnyConnectクライアントプロファイルの変更

開始する前に

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。

AAAサーバーグループの定義

  1. 十分な権限でVPNアプライアンス向けのCisco ASDMコンソールにサインインします。
  2. 下に示すように、[Configuration (構成)]>[Remote Access VPN (リモートアクセスVPN)]> [AAA/Local users (AAA/ローカルユーザー)]>[AAA server groups (AAAサーバーグループ)]に移動します。

  3. [Add (追加)]をクリックすると、新しいグループが作成されます。下のような[Add AAA Server Group (AAAサーバーグループの追加)]画面が表示されます。

  4. 以下を除いてデフォルト設定をそのまま残します。

    • AAAサーバーグループ - MFAサーバーのグループを識別するための名前を指定します。

    • プロトコル - 必要に応じてRADIUSを選択します。

AAAサーバーのAAAサーバーグループへの追加

  1. [OK]をクリックすると、上記の手順2で示したCisco ASDMコンソールに戻ります。

  2. [Remote Access VPN (リモートアクセスVPN)]をクリックし、[AAA/Local Users (AAA/ローカルユーザー)]>[AAA Server Groups (AAAサーバーグループ)]に移動します。作成したばかりのサーバーグループを選択します。

  3. [Add(追加)]をクリックします。下図のような画面が開きます。

  4. 以下を除いてデフォルト設定をそのまま残します。
    • インターフェイス名 - MFAサーバーとの通信を処理するインターフェイスを選択します。
    • サーバー名またはIPアドレス - Okta RADIUSエージェントの名前またはIPアドレスを指定します。
    • タイムアウト(秒)-60秒
    • サーバー認証ポート – Oktaでアプリを設定する際に、上記の手順3で設定したポート番号を入力します。この例ではポート1812を使用しました。
    • サーバーアカウンティングポート– 1646 この値は使用されませんが、設定を完了するために入力する必要があります。
    • 再試行間隔 – デフォルトの60秒のままにします。
    • サーバーの秘密鍵 – Oktaでアプリを設定する際に手順3で定義した、提供された秘密。
    • 共通パスワード – 空白のままにします。
    • [Microsoft CHAPv2 Capable (Microsoft CHAPv2対応)]のチェックを外します(重要)。
  5. 完了したら[OK]をクリックします。
  6. [APPLY (適用)]をクリックして構成を保存します。

AAAサーバーグループを使用するためのAnyConnect接続プロファイルの変更

また、このステップでは、権限付与/認証/アカウンティングの設定に矛盾や不一致がないことを確認します。

  1. VPNアプライアンスのCisco ASDMコンソールで、下のように[Configuration (構成)]>[Remote Access VPN (リモートアクセス VPN)]>[Network (Client) Access (ネットワーク(クライアント) アクセス)]>[AnyConnect Connection Profiles (AnyConnect接続プロファイル)]に移動します。

  2. [Connection Profiles (接続プロファイル)]セクションで目的の接続プロファイルを強調表示し、プロファイル名のリストの上にある[Edit (編集)]をクリックします。下図のような画面が開きます。

  3. [Authentication (認証)]セクションで、[Method (方法)][AAA]に設定します。
  4. 以前に作成または変更したAAAサーバーグループを選択し、左側の列にある[Advanced (詳細)]をクリックします。下図のような画面が開きます。

  5. 左側の[Secondary Authentication (セカンダリ認証)]をクリックし、「Secondary Authentication Server Group (セカンダリ認証サーバーグループ)」が未定義であることを確認します。

    情報

    現在の構成は、「マルチステップ認証」とも呼ばれています。

    「セカンダリ認証サーバーグループ」を活用して、別のフローでMFAを実行する構成も存在します。この構成では、メインのAAAサーバーグループサーバーがRADIUSチャレンジとレスポンスメッセージを使用して「セカンダリ」認証を処理します。

    この構成では、プライマリAAAサーバーグループは、1つのAAAサーバーグループに対してプライマリ認証(ユーザー名/パスワード)を実行するように設定されており、プライマリ認証のみを実行するように設定されているOkta RADIUSサーバーエージェントに対して検証することができます。セカンダリAAAサーバーグループは、第2のAAAサーバーグループに対してセカンダリ認証を実行するように設定されています。セカンダリAAAサーバーグループは、通常、Okta RADIUSサーバーとアプリで構成され、プライマリ認証を行わないように明示的に設定されており、登録された要素の検証(プッシュ、OTPの検証、SMS OTPなど)にのみ使用されます。

    このような別の構成を採用する理由としては、以下が考えられます。

    • プライマリ認証サーバーが、Oktaが提供できない追加のアカウンティング、認証、または接続の詳細を提供している。
    • マルチステップでないMFAエクスペリエンスを必要とするコンプライアンス上の理由
  6. 左側の[Authorization (権限付与)]をクリックし、下のように[Server Group (サーバーグループ)]の値が[None (なし)]になっていることを確認します。

    情報

    別の認証サーバーグループを利用する構成もありますが、これは本ガイドの対象範囲外です。この設定がOkta RADIUS Serverエージェントを含むAAAサーバーグループを指す場合、Oktaでは問題が発生していました。このような場合、Okta RADIUSサーバーに余分なアクセス要求メッセージが送信されます。

  7. 左側の[Accounting (アカウンティング)]をクリックし、下のように[Accounting Server Group (アカウンティングサーバーグループ)]の値が[None (なし)]になっていることを確認します。
    情報

    固有の意味を持つアカウンティングサーバーグループが必要な場合もあります。Okta RADIUS Serverエージェントを使用するAAAサーバーグループは、RADIUSアカウンティングメッセージをサポートしていません。

  8. [OK]をクリックして設定を保存します。

タイムアウトを延長するためのAnyConnectクライアントプロファイルの変更

  1. Cisco ASA管理コンソールで、[Configuration (構成)]ボタンをクリックし、[Remote Access VPN (リモートアクセスVPN)]ボタンをクリックします。
  2. [Network (Client) Access (ネットワーク (クライアント) アクセス)]>[AnyConnect Client Profile (AnyConnectクライアントプロファイル)]に移動し、目的のクライアントプロファイルをハイライト表示して[Edit (編集)]をクリックします (下記参照)。

  3. 開いた画面で、以下のように[Preferences (Part 2) (環境設定(その2))]を選択します。

  4. スクロールダウンして[Authentication Timeout (seconds) (認証タイムアウト (秒))]を見つけ、値を「60」に設定します。

  5. [OK]をクリックして設定を保存します。
  6. [Commit(確定)]をクリックしてCIsco ASA管理コンソールでOkta RADIUS 構成を保存します。