RADIUSと相互運用するようにCisco ASA VPNを構成する
このタスクでは、Cisco ASA VPNを構成します。具体的には以下を行います。
- RADIUSサーバー・プロファイルを定義する
- Okta RADIUS Agentの認証プロファイルを定義する
- Okta RADIUS認証プロファイルをゲートウェイに適用する
- Okta RADIUS認証プロファイルを使用するようにポータルを構成する
および
手順
開始する前に
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
Cisco ASA VPNを構成する
- AAAサーバー・グループを定義する
- 十分な権限を持つアカウントを使用して、VPNアプライアンスのCisco ASDMコンソールにサインインします。
- 以下に示すように、[構成] > [リモート・アクセスVPN] > [AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。
- [追加]をクリックし、新しいグループを作成します。
[AAAサーバー・グループの追加]ダイアログが表示されます。 以下を除き、デフォルト設定のままにします。
[AAAサーバー・グループ]:MFAサーバーのグループを識別する名前を指定します。
[プロトコル]:必要に応じてRADIUSを選択します。
- [OK]をクリックします。
- AAAサーバー・グループにAAAサーバーを追加します。
[リモート・アクセスVPN]を選択して、[AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。
前の手順で作成したサーバー・グループを選択します。[追加]をクリックします。
['ServerName'サーバーの編集]ダイアログが表示されます。- 以下を指定します。それ以外のすべてのフィールドは、変更せずにそのままにします。
- [インターフェイス名]: MFAサーバーとの通信を処理するインターフェイスを選択します。
- [サーバー名またはIPアドレス]:Okta RADIUS Agentの名前またはIPアドレスを指定します。
- [タイムアウト](秒):60秒
- [サーバー認証ポート]:必要なポート番号を入力します。この例ではポート1812を使用しています。
- [サーバー・アカウンティング・ポート]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
- [再試行間隔]:デフォルトの60秒のままにします
- [サーバー・シークレット・キー]:Oktaでアプリをセットアップする際に定義したシークレットが入力されます。
- [共通パスワード]:空白のままにします。
- [Microsoft CHAPv2を有効にする]のチェックを外します(重要)。
- [OK]をクリックします。
[適用] をクリックして構成を保存します。
IPSec(IKEv2)接続プロファイルを変更する
新しい認証サーバー・グループを使用するようにIPSec(IKEv2)接続プロファイルを変更します。
- VPNアプライアンスのCisco ASDMコンソールを開きます。
- [構成]をクリックします。
- [リモート・アクセスVPN]を選択します。
- [リモート・アクセスVPN] セクションで、[IPsec(IKEv2)接続プロファイル]を選択します。
- [DefaultRAGroup]グループを選択し、[編集]をクリックします。
- [IKEピア認証グループ]セクションで、[EAPを使用したピアツーピア認証を有効にする]と[EAP IDリクエストをクライアントに送信する]を有効にします。
-
[OK]をクリックして保存します。