RADIUSと相互運用するようにCisco ASA VPNを構成する

このタスクでは、Cisco ASA VPNを構成します。具体的には以下を行います。

  • RADIUSサーバープロファイルを定義する
  • Okta RADIUS Agentの認証プロファイルを定義する
  • Okta RADIUS認証プロファイルをゲートウェイに適用する
  • Okta RADIUS認証プロファイルを使用するようにポータルを構成する

手順

  1. Cisco ASA VPNを構成する
  2. IPSec(IKEv2)接続プロファイルを変更する

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

Cisco ASA VPNを構成する

  1. AAAサーバーグループを定義する
    1. 十分な権限を持つアカウントを使用して、VPNアプライアンスのCisco ASDMコンソールにサインインします。
    2. 以下に示すように、[Configuration(構成)]>[Remote Access VPN(リモートアクセスVPN)]>[AAA/Local users(AAA/ローカルユーザー)]>[AAA server groups(AAAサーバーグループ)]に移動します。

    3. [Add(追加)]をクリックし、新しいグループを作成します。
      [Add AAA Server Group(AAAサーバーグループの追加)]ダイアログが表示されます。

    4. 以下を除き、デフォルト設定のままにします。

      • [AAA Server Group(AAAサーバーグループ)]:MFAサーバーのグループを識別する名前を指定します。

      • [Protocol(プロトコル)]:必要に応じてRADIUSを選択します。

    5. [OK]をクリックします。
  2. AAAサーバーグループにAAAサーバーを追加します。

    1. [Remote Access VPN(リモートアクセスVPN)]を選択し、[AAA/Local Users(AAA/ローカルユーザー)]>[AAA Server Groups(AAAサーバーグループ)]に移動します。
      前の手順で作成したサーバーグループを選択します。

    2. [Add(追加)]をクリックします。
      [Edit 'ServerName' Server('ServerName'サーバーの編集)]ダイアログが表示されます。

    3. 以下を指定します。それ以外のすべてのフィールドは、変更せずにそのままにします。
      • [Interface Name(インターフェイス名)]: MFAサーバーとの通信を処理するインターフェイスを選択します。
      • [Server Name or IP Address(サーバー名またはIPアドレス)]:Okta RADIUS Agentの名前またはIPアドレスを指定します。
      • [Timeout (seconds)(タイムアウト(秒))]:60秒
      • [Server Authentication Port(サーバー認証ポート)]:必要なポート番号を入力します。この例ではポート1812を使用しています。
      • [Server Accounting Port(サーバーアカウンティングポート)]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
      • [Retry Interval(再試行間隔)]:デフォルトの60秒のままにします
      • [Server Secret Key(サーバー秘密鍵)]:Oktaでアプリをセットアップする際に定義したシークレットが入力されます。
      • [Common Password(共通パスワード)]:空白のままにします。
      • [Microsoft CHAPv2 Capable(Microsoft CHAPv2を有効にする)]のチェックを外します(重要)。
    4. [OK]をクリックします。

    5. [APPLY(適用)]をクリックして構成を保存します。

IPSec(IKEv2)接続プロファイルを変更する

新しい認証サーバーグループを使用するようにIPSec(IKEv2)接続プロファイルを変更します。

  1. VPNアプライアンスのCisco ASDMコンソールを開きます。
  2. [Configuration(構成)]をクリックします。
  3. [Remote Access VPN(リモートアクセスVPN)]を選択します。
  4. [Remote Access VPN(リモートアクセスVPN)]セクションで、[IPsec(IKEv2) Connection Profiles(IPsec(IKEv2)接続プロファイル)]を選択します。
  5. [DefaultRAGroup]グループを選択し、[Edit(編集)]をクリックします。
  6. [IKE Peer Authentication Group(IKEピア認証グループ)]セクションで、[Enable Peer to Peer authentication using EAP(EAPを使用したピアツーピア認証を有効にする)][Send an EAP Identity request to the client(EAP IDリクエストをクライアントに送信する)]を有効にします。

  7. [OK]をクリックして保存します。