RADIUSと相互運用するようにCisco ASA VPNを構成する

このタスクでは、Cisco ASA VPNを構成します。具体的には以下を行います。

• RADIUSサーバー・プロファイルを定義する
• Okta RADIUS Agentの認証プロファイルを定義する
• Okta RADIUS認証プロファイルをゲートウェイに適用する

および

• Okta RADIUS認証プロファイルを使用するようにポータルを構成する
  

手順

2. 
   

開始する前に

• 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

Cisco ASA VPNを構成する

1. AAAサーバー・グループを定義する
   1. 十分な権限を持つアカウントを使用して、VPNアプライアンスのCisco ASDMコンソールにサインインします。
   2. 以下に示すように、[構成] > [リモート・アクセスVPN] > [AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。

      

   3. [追加]をクリックし、新しいグループを作成します。
      [AAAサーバー・グループの追加]ダイアログが表示されます。

      

   4. 以下を除き、デフォルト設定のままにします。

      • [AAAサーバー・グループ]：MFAサーバーのグループを識別する名前を指定します。

      • [プロトコル]：必要に応じてRADIUSを選択します。

   5. [OK]をクリックします。
2. AAAサーバー・グループにAAAサーバーを追加します。

   1. [リモート・アクセスVPN]を選択して、[AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。
      前の手順で作成したサーバー・グループを選択します。

   2. [追加]をクリックします。
      ['ServerName'サーバーの編集]ダイアログが表示されます。

      

   3. 以下を指定します。それ以外のすべてのフィールドは、変更せずにそのままにします。
      • [インターフェイス名]： MFAサーバーとの通信を処理するインターフェイスを選択します。
      • [サーバー名またはIPアドレス]：Okta RADIUS Agentの名前またはIPアドレスを指定します。
      • [タイムアウト]（秒）：60秒
      • [サーバー認証ポート]：必要なポート番号を入力します。この例ではポート1812を使用しています。
      • [サーバー・アカウンティング・ポート]：1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
      • [再試行間隔]：デフォルトの60秒のままにします
      • [サーバー・シークレット・キー]：Oktaでアプリをセットアップする際に定義したシークレットが入力されます。
      • [共通パスワード]：空白のままにします。
      • [Microsoft CHAPv2を有効にする]のチェックを外します（重要）。
   4. [OK]をクリックします。

   5. [適用] をクリックして構成を保存します。

IPSec（IKEv2）接続プロファイルを変更する

新しい認証サーバー・グループを使用するようにIPSec（IKEv2）接続プロファイルを変更します。

1. VPNアプライアンスのCisco ASDMコンソールを開きます。
2. [構成]をクリックします。
   
3. [リモート・アクセスVPN]を選択します。
   
4. [リモート・アクセスVPN] セクションで、[IPsec(IKEv2)接続プロファイル]を選択します。
   
5. [DefaultRAGroup]グループを選択し、[編集]をクリックします。
   
6. [IKEピア認証グループ]セクションで、[EAPを使用したピアツーピア認証を有効にする]と[EAP IDリクエストをクライアントに送信する]を有効にします。
   

7. [OK]をクリックして保存します。