Cisco ASA VPNにRADIUSとの相互運用を構成する
このタスクでは、Cisco ASA VPNを構成します。具体的には以下を行います。
- RADIUSサーバープロファイルを定義する
- Okta RADIUSエージェントの認証プロファイルを定義する
- Okta RADIUS認証プロファイルをゲートウェイに適用する
- Okta RADIUS認証プロファイルを使用するようにポータルを構成する
手順
開始する前に
共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
Cisco ASA VPNを構成する
- AAAサーバーグループを定義する
- 十分な権限を持つアカウントを使用して、VPNアプライアンスのCisco ASDMコンソールにサインインします。
- 次に示すように、に移動します。
- 追加(Add)をクリックし、新しいグループを作成します。AAAサーバーグループの追加(Add AAA Server Group)ダイアログが表示されます。
-
以下を除き、デフォルト設定のままにします。
-
AAAサーバーグループ([AAA Server Group)]:MFAサーバーのグループを識別する名前を指定します。
-
プロトコル([Protocol)]:必要に応じてRADIUSを選択します。
-
- OK(Click)をクリックします。
- AAAサーバーグループにAAAサーバーを追加します。
-
リモートアクセスVPN(Remote Access VPN)を選択し、に移動します。前の手順で作成したサーバーグループを選択します。
- 追加(Add)をクリックします。'ServerName'サーバーの編集([Edit 'ServerName' Server)]ダイアログが表示されます。
- 以下を指定します。それ以外のすべてのフィールドは、変更せずにそのままにします。
- インターフェイス名([Interface Name)]: MFAサーバーとの通信を処理するインターフェイスを選択します。
- サーバー名またはIPアドレス([Server Name or IP Address)]:Okta RADIUSエージェントの名前またはIPアドレスを指定します。
- [Timeout (seconds)(タイムアウト(秒))]:60秒
- サーバー認証ポート([Server Authentication Port)]:必要なポート番号を入力します。この例ではポート1812を使用しています。
- サーバーアカウンティングポート([Server Accounting Port)]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
- 再試行間隔([Retry Interval)]:デフォルトの60秒のままにします
- サーバー秘密鍵([Server Secret Key)]:Oktaでアプリをセットアップする際に定義したシークレットが入力されます。
- 共通パスワード([Common Password)]:空白のままにします。
- Microsoft CHAPv2を有効にする(Microsoft CHAPv2 Capable)のチェックを外します(重要)。
- OKをクリックします。
-
適用(APPLY)をクリックして構成を保存します。
-
IPSec(IKEv2)接続プロファイルを変更する
新しい認証サーバーグループを使用するようにIPSec(IKEv2)接続プロファイルを変更します。
- VPNアプライアンスのCisco ASDMコンソールを開きます。
- 構成(Configuration)をクリックします。
- リモートアクセスVPN(Remote Access VPN)(Remote Access VPN.)を選択します。
- リモートアクセスVPN(Remote Access VPN)セクションで、IPsec(IKEv2) Connection Profiles(IPsec(IKEv2)接続プロファイル)(select IPsec(IKEv2) Connection Profiles)を選択します。
- DefaultRAGroupグループを選択し、編集(Edit)をクリックします。
- IKEピア認証グループセクションで、EAPを使用したピアツーピア認証を有効にする(Enable Peer to Peer authentication using EAP)とEAP IDリクエストをクライアントに送信する(Send an EAP Identity request to the client)を有効にします。
-
OKをクリックして保存します。