Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3768 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM V8 + RSA Autentification Manager

airness
Hallo,

wir möchten unsere derzeitigen VPN Verbindungen um die zusätzliche Authentfizierung mit RSA SecurID Tokens erweitern. Als Basis dafür soll der RSA Authentification Manager (Software Edition) mit den SiD 700 Tokens bereitgestellt werden.

Als derzeitige VPN Lösung bieten wir VPN over SSL mit dem kostenlosen Sophos Client und PPTP an. 

Da meines Wissen Radius für die Authentifizierung zum RSA Manager notwendig ist, stellte ich fest, dass nur bei L2TP over IPSEC und PPTP Radius im Webadmin angegeben werden kann. Als Radius Autentification Service kann aber zusätzlich der NAS Identifier ssl angegeben werden. 

Ist es nun möglich Radius Autentifizierung auch mit VPN over SSL oder dem kostenpflichtigen Astaro VPN Client zu nutzen? Gibt es Einschränkungen die zu beachten sind? Hat dies schon jemand implementiert und hat dazu vielleicht ein Best Practice?

Danke im voraus!


This thread was automatically locked due to age.
Parents
  • 0
    Hallo airness,

    wir setzen den SSL Client (OpenVPN Client) auch mit RSA Tokens über Radius ein.
    Dazu musst du auf der UTM User anlegen die nicht local sondern remotly authenticated sind. Dann den RSA Server als AuthenticationServer vom Typ Radius auf der UTM einrichten - auf dem RSA Server muss der natürlich die Radius Komponente aktiv sein. Auf dem RSA Server müssen die User mit dem gleichen Usernamen wie auf der UTM angelegt sein. Das klappt recht zuverlässig.

    Ein paar Dinge die man beachten kann/soll/muss:
    - der RSA Server sollte der einzige Authentication  Server auf der UTM sein. Die UTM fragt immer alle konfigurierten Authentication Server parallel an - wenn es also die gleichen User z.B. im AD gibt und du einen AD Server als AuthServer angelegt hast, könnte das zu unerwünschten Effekten führen. Wenn du den WebProxy mit AD-SSO einsetzt: das funktioniert unabhängig davon (= funktioniert zusammen).
    - der Timeout für den RadiusRequest ist recht kurz (3 sek.). Das reicht bei uns häufig nicht und führt zu 'AuthFailed' Meldungen - die den gemeinen User irritieren :-). Den Timeout kann man leider nur in einer config Datei in der shell ändern (und muss das nach Updates auch wieder nachziehen ...) - ich hab den auf 10sek gesetzt und dann klappts zuverlässig.
    - in der *.ovpn Datei auf den Clients sollte man eine Zeile mit 'auth-nocache' einfügen, damit der Client bei einem Verbindungsabbruch nicht mit dem alten Tokencode um die Ecke kommt wenn er die Verbindung wiederherstellen möchte.
    - man braucht irgendein anderes Frontend um die PIN der Tokens zu setzen, wenn die im 'new pin mode' oder 'next token code' Status sind.

    Viele Grüße
    Manfred
Reply
  • 0
    Hallo airness,

    wir setzen den SSL Client (OpenVPN Client) auch mit RSA Tokens über Radius ein.
    Dazu musst du auf der UTM User anlegen die nicht local sondern remotly authenticated sind. Dann den RSA Server als AuthenticationServer vom Typ Radius auf der UTM einrichten - auf dem RSA Server muss der natürlich die Radius Komponente aktiv sein. Auf dem RSA Server müssen die User mit dem gleichen Usernamen wie auf der UTM angelegt sein. Das klappt recht zuverlässig.

    Ein paar Dinge die man beachten kann/soll/muss:
    - der RSA Server sollte der einzige Authentication  Server auf der UTM sein. Die UTM fragt immer alle konfigurierten Authentication Server parallel an - wenn es also die gleichen User z.B. im AD gibt und du einen AD Server als AuthServer angelegt hast, könnte das zu unerwünschten Effekten führen. Wenn du den WebProxy mit AD-SSO einsetzt: das funktioniert unabhängig davon (= funktioniert zusammen).
    - der Timeout für den RadiusRequest ist recht kurz (3 sek.). Das reicht bei uns häufig nicht und führt zu 'AuthFailed' Meldungen - die den gemeinen User irritieren :-). Den Timeout kann man leider nur in einer config Datei in der shell ändern (und muss das nach Updates auch wieder nachziehen ...) - ich hab den auf 10sek gesetzt und dann klappts zuverlässig.
    - in der *.ovpn Datei auf den Clients sollte man eine Zeile mit 'auth-nocache' einfügen, damit der Client bei einem Verbindungsabbruch nicht mit dem alten Tokencode um die Ecke kommt wenn er die Verbindung wiederherstellen möchte.
    - man braucht irgendein anderes Frontend um die PIN der Tokens zu setzen, wenn die im 'new pin mode' oder 'next token code' Status sind.

    Viele Grüße
    Manfred
Children
No Data
Cookie Information Banner