Mobile VPN with IKEv2 ユーザー認証について

Mobile VPN with IKEv2 を構成する場合は、認証サーバーを選択し、認証のためのユーザーおよびグループを構成します。指定するユーザーおよびグループは、選択された認証サーバ上に存在する必要があります。

認証メソッド

Mobile VPN with IKEv2 は以下の認証方法をサポートしています。

Firebox 上のローカル認証 (Firebox-DB)

Firebox のローカル認証サーバーを IKEv2 のユーザー認証に使用することができます。認証に Firebox-DB を使用する場合は、Mobile VPN with IKEv2 を構成する際に既定で作成された IKEv2-Users グループを使用する必要があります。IKEv2 構成に他のユーザーやグループを追加することもできます。IKEv2 構成に追加したユーザーとグループは IKEv2-Users グループに自動的に含まれます。

RADIUS

RADIUS サーバー を IKEv2 のユーザー認証に使用することができます。ユーザーが Active Directory でネットワーク リソースを認証する場合は、IKEv2 VPN が Active Directory の認証を通過できるよう、RADIUS 認証を構成することをお勧めします。

RADIUS サーバーでは、Firebox を RADIUS クライアントとして構成し、その他の設定を行う必要があります。RADIUS の Microsoft 実装である NPS を構成するには、WatchGuard ナレッジ ベースの RADIUS および Active Directory で Mobile VPN ユーザーを認証するように Windows Server 2016 または 2012 R2 を構成する を参照してください。

Firebox では、RADIUS サーバーを構成し、Mobile VPN with IKEv2 の認証方法に RADIUS を選択し、Active Directory データベースから Mobile VPN with IKEv2 構成にユーザーとグループを追加する必要があります。既定の IKEv2-Users グループを使用することも (ただし、RADIUS 認証サーバー上でもこのグループが追加されている場合)、RADIUS 認証サーバー データベースに存在するユーザーとグループの名前を追加することもできます。

AuthPoint

Fireware v12.7 以降では、Mobile VPN with IKEv2 構成で AuthPoint を認証サーバーとして選択することができます。詳細については、本ページの 多要素認証 セクションを参照してください。

Mobile VPN with IKEv2 構成で認証設定を構成し、ユーザーとグループを追加する方法については、次を参照してください:Mobile VPN with IKEv2 構成を編集する

多要素認証

Mobile VPN with IKEv2 では、MS-CHAPv2 対応の MFA ソリューションの多要素認証がサポートされています。

AuthPoint MFA

WatchGuard が提供するクラウドベースの MFA サービスである AuthPoint では、MS-CHAPv2 認証をサポートしています。

Fireware v12.7 以降 — IKEv2 VPN ユーザーの認証要求を AuthPoint に直接転送するように Firebox を構成することができます。AuthPoint で必要な構成を行うと、Firebox の認証サーバーのリストに AuthPoint が表示されます。Mobile VPN の IKEv2 構成では、AuthPoint を認証サーバーとして選択する必要があります。この統合は、Active Directory ユーザーの MS-CHAPv2 認証をサポートします。構成例については、Firebox Mobile VPN with IKEv2 と AuthPoint の統合 に関する統合ガイドを参照してください。

Fireware v12.6.x 以下で Mobile VPN with IKEv2 の AuthPoint MFA を構成した場合は、その統合を維持したまま、Fireware v12.7 以上で更新した統合を構成することができます。構成の変換に関する詳細については、Firebox の MFA を構成する の「Fireware 12.6.x 以下から構成を変換する」セクションを参照してください。

Fireware v12.6.4 以下 — Firebox の Mobile VPN with IKEv2 構成で、RADIUS サーバーを指定する必要があります。AuthPoint は Firebox 上の認証サーバーのリストには表示されません。構成例については、Firebox Mobile VPN with IKEv2 と AuthPoint の統合 に関する統合ガイドを参照してください。

サードパーティの IKEv2 VPN クライアントを持つモバイル ユーザーを認証するには、Mobile VPN with IKEv2 と AuthPoint の統合 を参照してください。

Mobile VPN with IKEv2 の AuthPoint MFA ワークフローに関する一般情報については、次を参照してください:Firebox の MFA を構成する

strongSwan VPN クライアントを介して接続している Android ユーザーは、スプリット トンネリング用に strongSwan を構成している場合にのみ、AuthPoint のプッシュ通知を受け取ることができます。フル トンネリングで構成した場合、strongSwan は AuthPoint のプッシュ通知を受け取れません。この制限は、ローカルの AuthPoint ユーザー アカウントと LDAP ユーザー アカウントに適用されます。strongSwan でスプリット トンネリングを構成するには、strongSwan が提供するドキュメントを参照してください。

サードパーティの MFA

サードパーティ MFA の実装に関する詳細については、次を参照してください:Mobile VPN で多要素認証 (MFA) を使用する

関連情報:

Mobile VPN ユーザーのための Active Directory を使用した RADIUS 認証

RADIUS サーバー認証を構成する

Mobile VPN with IKEv2

Mobile VPN with IKEv2 をトラブルシューティングする