RADIUSと相互運用するようにCisco ASA VPNを構成する

このタスクでは、Cisco ASA VPNを構成します。具体的には以下を行います。

  • RADIUSサーバー・プロファイルを定義する
  • Okta RADIUS Agentの認証プロファイルを定義する
  • Okta RADIUS認証プロファイルをゲートウェイに適用する
  • および

  • Okta RADIUS認証プロファイルを使用するようにポータルを構成する

手順


開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

Cisco ASA VPNを構成する

  1. AAAサーバー・グループを定義する
    1. 十分な権限を持つアカウントを使用して、VPNアプライアンスのCisco ASDMコンソールにサインインします。
    2. 以下に示すように、[構成] > [リモート・アクセスVPN] > [AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。

    3. [追加]をクリックし、新しいグループを作成します。
      [AAAサーバー・グループの追加]ダイアログが表示されます。

    4. 以下を除き、デフォルト設定のままにします。

      • [AAAサーバー・グループ]:MFAサーバーのグループを識別する名前を指定します。

      • [プロトコル]:必要に応じてRADIUSを選択します。

    5. [OK]をクリックします。
  2. AAAサーバー・グループにAAAサーバーを追加します。
    1. [リモート・アクセスVPN]を選択して、[AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。
      前の手順で作成したサーバー・グループを選択します。

    2. [追加]をクリックします。
      ['ServerName'サーバーの編集]ダイアログが表示されます。

    3. 以下を指定します。それ以外のすべてのフィールドは、変更せずにそのままにします。
      • [インターフェイス名]: MFAサーバーとの通信を処理するインターフェイスを選択します。
      • [サーバー名またはIPアドレス]:Okta RADIUS Agentの名前またはIPアドレスを指定します。
      • [タイムアウト](秒):60秒
      • [サーバー認証ポート]:必要なポート番号を入力します。この例ではポート1812を使用しています。
      • [サーバー・アカウンティング・ポート]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
      • [再試行間隔]:デフォルトの60秒のままにします
      • [サーバー・シークレット・キー]:Oktaでアプリをセットアップする際に定義したシークレットが入力されます。
      • [共通パスワード]:空白のままにします。
      • [Microsoft CHAPv2を有効にする]のチェックを外します(重要)。
    4. [OK]をクリックします。
    5. [適用] をクリックして構成を保存します。

IPSec(IKEv2)接続プロファイルを変更する

新しい認証サーバー・グループを使用するようにIPSec(IKEv2)接続プロファイルを変更します。

  1. VPNアプライアンスのCisco ASDMコンソールを開きます。
  2. [構成]をクリックします。
  3. [リモート・アクセスVPN]を選択します。
  4. [リモート・アクセスVPN] セクションで、[IPsec(IKEv2)接続プロファイル]を選択します。
  5. [DefaultRAGroup]グループを選択し、[編集]をクリックします。
  6. [IKEピア認証グループ]セクションで、[EAPを使用したピアツーピア認証を有効にする][EAP IDリクエストをクライアントに送信する]を有効にします。
  7. [OK]をクリックして保存します。