Cisco ASA VPNを構成してRADIUSとの相互運用を可能にする

このタスクでは、Cisco ASA VPNを設定します。具体的には次のとおりです。

  • RADIUS Serverプロファイルの定義
  • Okta RADIUSエージェント向けの認証プロファイルの定義
  • Okta RADIUS認証プロファイルをゲートウェイに適用
  • および

  • Okta RADIUS認証プロファイルを使用するようにポータルを設定

手順

  1. Cisco ASA VPNの設定
  2. IPSec(IKEv2)接続プロファイルの変更

開始する前に

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。

Cisco ASA VPNの設定

  1. AAAサーバーグループの定義
    1. 十分な権限を持つアカウントを使用してVPNアプライアンス向けのCisco ASDMコンソールにサインインします。
    2. 下に示すように、[Configuration (構成)]>[Remote Access VPN (リモートアクセスVPN)]> [AAA/Local users (AAA/ローカルユーザー)]>[AAA server groups (AAAサーバーグループ)]に移動します。

    3. [Add (追加)]をクリックすると、新しいグループが作成されます。
      [Add AAA Server Group (AAAサーバーグループの追加)]ダイアログが表示されます。

    4. 以下を除いてデフォルト設定をそのまま残します。

      • AAAサーバーグループ - MFAサーバーのグループを識別するための名前を指定します。

      • プロトコル - 必要に応じてRADIUSを選択します。

    5. [OK]をクリックします。
  2. AAAサーバーのAAAサーバーグループへの追加
    1. [Remote Access VPN (リモートアクセスVPN)]を選択し、[AAA/Local Users (AAA/ローカルユーザー)]>[AAA Server Groups (AAAサーバーグループ)]に移動します。
      作成したばかりのサーバーグループを選択します。

    2. [Add(追加)]をクリックします。
      [Edit 'ServerName' Server ('ServerName'サーバーの編集)]ダイアログが表示されます。

    3. 以下を指定し、その他のフィールドは変更しないでください。
      • インターフェイス名 - MFAサーバーとの通信を処理するインターフェイスを選択します。
      • サーバー名またはIPアドレス - Okta RADIUSエージェントの名前またはIPアドレスを指定します。
      • タイムアウト(秒)-60秒
      • サーバー認証ポート – 必要なポート番号を入力してください。この例ではポート1812を使用しました。
      • サーバーアカウンティングポート– 1646 この値は使用されませんが、設定を完了するために入力する必要があります。
      • 再試行間隔 – デフォルトの60秒のままにします。
      • サーバーの秘密鍵 – Oktaでアプリを設定する際に定義する、提供された秘密。
      • 共通パスワード – 空白のままにします。
      • [Microsoft CHAPv2 Capable (Microsoft CHAPv2対応)]のチェックを外します(重要)。
    4. [OK]をクリックします。
    5. [APPLY (適用)]をクリックして構成を保存します。

IPSec(IKEv2)接続プロファイルの変更

IPSec(IKEv2)接続プロファイルを変更して、新しい認証サーバーグループを使用します。

  1. VPNアプライアンスのCisco ASDMコンソールを開きます。
  2. [Configuration(構成)]をクリックします。
  3. [Remote Access VPN (リモートアクセスVPN)]を選択します。
  4. [Remote Access VPN (リモートアクセスVPN)]セクションで、[IPsec(IKEv2) Connection Profiles (IPsec(IKEv2)接続プロファイル)]を選択します。
  5. DefaultRAGroupグループを選択し、[Edit (編集)]をクリックします。
  6. [IKE Peer Authentication Group (IKEピア認証グループ)]セクションで、[Enable Peer to Peer authenticationusing EAP (EAPを使用したピアツーピア認証を有効にする)][Send an EAP Identity request to client (クライアントにEAP IDリクエストを送信)]を有効にします。
  7. [OK]をクリックして保存します。