Mobile VPN with L2TP を構成する場合は、認証サーバーを選択し、認証のためのユーザーおよびグループを構成します。指定するユーザーおよびグループは、選択された認証サーバ上に存在する必要があります。
認証メソッド
Mobile VPN with L2TP は 2 つの認証方法をサポートしています。
Firebox 上のローカル認証 (Firebox-DB)
Firebox のローカル認証サーバーを L2TP のユーザー認証に使用することができます。認証に Firebox-DB を使用する場合は、Mobile VPN with L2TP を構成する際に既定で作成された L2TP-Users グループを使用する必要があります。また、L2TP 構成内の他のユーザーやグループを追加することができます。L2TP 構成に追加したユーザーとグループは L2TP-Users グループに自動的に含まれます。
Fireware v12.2.1 以前では、ユーザーまたはグループを Mobile VPN with L2TP 構成に追加してから Firebox-DB を認証サーバーとして選択しても、それらのユーザーまたはグループが Firebox 認証に自動的に追加されません。また、Firebox 認証設定でユーザーとグループを追加する必要があります。ユーザーおよびグループを追加する方法の詳細については、Firebox の認証に新規ユーザーを定義する および Firebox の認証に新規グループを定義する を参照してください。
RADIUS
RADIUS サーバー を L2TP ユーザー 認証に使用することができます。RADIUS サーバーを認証に使用する場合、既定の L2TP-Users グループを使用したり (RADIUS 認証サーバーにそのグループも追加する場合) 、RADIUS 認証サーバー データベースに存在するユーザーとグループの名前を追加したりすることができます。
Active Directory データベースを認証に使用する場合、Active Directory データベースを使用するように RADIUS サーバーを構成することができます。次に、Firebox で RADIUS サーバーを構成します。Mobile VPN with L2TP の認証方法に RADIUS を選択し、Active Directory データベースから Mobile VPN with L2TP 構成にユーザーとグループを追加します。
L2TP ユーザーのために Active Directory で RADIUS 認証を構成するには、Mobile VPN with L2TP の Active Directory で RADIUS 認証を構成する を参照してください。
多要素認証
Mobile VPN with L2TP では、MS-CHAPv2 対応の MFA ソリューションの多要素認証がサポートされています。WatchGuard MFA サービスである AuthPoint では、MS-CHAPv2 RADIUS 認証がサポートされています。
Fireware v12.5.3 以降では、Mobile VPN with L2TP は、NPS 経由の Active Directory への多要素認証を行う AuthPoint に対応しています。AuthPoint のプッシュベースの認証を使用する必要があります。AuthPoint の OTP は使用できません。
AuthPoint の詳細については、次を参照してください:AuthPoint について。