Lorsque vous configurez Mobile VPN with IKEv2, vous sélectionnez des serveurs d'authentification et configurez des utilisateurs et des groupes pour l'authentification. Les utilisateurs et groupes que vous spécifiez doivent exister sur le serveur d'authentification sélectionné.
Méthodes d'Authentification
Mobile VPN with IKEv2 prend en charge les méthodes d'authentification suivantes :
Authentification locale sur le Firebox (Firebox-DB)
Vous pouvez utiliser le serveur d'authentification local du Firebox pour l'authentification des utilisateurs IKEv2. Si vous utilisez l'authentification Firebox-DB, vous devez utiliser le groupe Utilisateurs-IKEv2 créé par défaut lors de la configuration Mobile VPN with IKEv2. Vous pouvez également ajouter d'autres utilisateurs et groupes dans la configuration IKEv2. Les utilisateurs et groupes que vous ajoutez à la configuration IKEv2 sont automatiquement ajoutés dans le groupe Utilisateurs-IKEv2.
RADIUS
Vous pouvez utiliser un serveur RADIUS pour l'authentification des utilisateurs IKEv2. Si vos utilisateurs s'authentifient sur les ressources réseau avec Active Directory, nous vous recommandons de configurer l'authentification RADIUS de manière à ce que le VPN IKEv2 puisse transmettre les informations d'identification Active Directory.
Sur votre serveur RADIUS, vous devez configurer le Firebox en tant que client RADIUS et configurer d'autres paramètres. Pour configurer le NPS, l'implémentation RADIUS de Microsoft, consultez Configurer Windows Server 2016 ou 2012 R2 pour authentifier les utilisateurs mobile VPN avec RADIUS et Active Directory dans la base de connaissances WatchGuard.
Sur le Firebox, vous devez configurer le serveur RADIUS, sélectionner RADIUS en tant que méthode d'authentification Mobile VPN with IKEv2 puis ajouter les utilisateurs et les groupes de votre base de données Active Directory à la configuration Mobile VPN with IKEv2. Vous pouvez utiliser le groupe par défaut Utilisateurs-IKEv2 (si vous ajoutez également ce groupe sur le serveur d'authentification RADIUS) ou ajouter les noms des utilisateurs et des groupes figurant dans la base de données du serveur d'authentification RADIUS.
AuthPoint
Dans Fireware v12.7 et les versions ultérieures, vous pouvez sélectionner AuthPoint en tant que serveur d'authentification dans la configuration Mobile VPN with IKEv2. Pour de plus amples informations, consultez la section Authentification Multifacteur de cette page.
Pour configurer les paramètres d'authentification dans la configuration Mobile VPN with IKEv2, et pour ajouter des utilisateurs et des groupes, consultez la section Modifier la Configuration Mobile VPN with IKEv2.
Authentification Multifacteur
Le Mobile VPN with IKEv2 prend en charge l'authentification multifacteur pour les solutions MFA qui prennent en charge le protocole MS-CHAPv2.
MFA AuthPoint
AuthPoint, le service de MFA cloud de WatchGuard, prend en charge l'authentification MS-CHAPv2.
Fireware v12.7 et versions ultérieures — Vous pouvez configurer le Firebox de manière à transmettre les requêtes d'authentification des utilisateurs VPN IKEv2 directement à AuthPoint. Après avoir configuré les paramètres requis dans AuthPoint, AuthPoint apparaît dans la liste des serveurs d'authentification sur le Firebox. Dans la configuration Mobile VPN with IKEv2, vous devez sélectionner AuthPoint en tant que serveur d'authentification. Cette intégration prend en charge l'authentification MS-CHAPv2 pour les utilisateurs Active Directory. Pour obtenir un exemple de configuration, consultez le guide d'intégration Intégration Mobile VPN with IKEv2 du Firebox à AuthPoint.
Si vous avez configuré Mobile VPN with IKEv2 pour la MFA AuthPoint dans Fireware v12.6.x ou une version antérieure, vous pouvez maintenir cette intégration pendant que vous configurez une intégration mise à jour dans Fireware v12.7 ou une version ultérieure. Pour obtenir les informations de conversion des configurations, consultez la section « Convertir les Configurations de Fireware 12.6.x ou d'une Version Antérieure » dans Configurer la MFA pour un Firebox.
Fireware v12.6.4 ou versions antérieures — Sur le Firebox, vous devez spécifier un serveur RADIUS dans la configuration Mobile VPN with IKEv2. AuthPoint ne s'affiche pas dans la liste des serveurs d'authentification du Firebox. Pour obtenir un exemple de configuration, consultez le guide d'intégration Intégration Mobile VPN with IKEv2 du Firebox à AuthPoint.
Pour authentifier les utilisateurs mobiles disposant de clients VPN IKEv2 tiers, consultez la section Intégration de Mobile VPN with IKEv2 à AuthPoint.
Pour obtenir des informations générales concernant le flux de travail de la MFA AuthPoint pour Mobile VPN with IKEv2, consultez la section Configurer la MFA pour un Firebox.
Les utilisateurs Android se connectant via le client VPN strongSwan reçoivent les notifications push uniquement si vous configurez strongSwan pour le tunneling fractionné. Lorsqu'il est configuré en tunneling complet, strongSwan ne peut pas recevoir les notifications push d'AuthPoint. Cette limitation s'applique aux comptes d'utilisateur AuthPoint locaux et aux comptes d'utilisateur LDAP. Pour configurer le tunneling fractionné dans strongSwan, consultez la documentation fournie par strongSwan.
MFA Tierce
Pour de plus amples informations concernant la mise en œuvre d'une MFA tierce, consultez la section Utiliser une Authentification Multifacteur (MFA) avec les Mobile VPN.
Voir Également
Authentification RADIUS avec Active Directory pour les Utilisateurs Mobile VPN