将 VASCO IDENTIKEY Server 与 XTM 设备集成以进行双重认证

要在 VASCO IDENTIKEY Server 和 XTM 设备上使用双重认证,必须配置 IDENTIKEY Server 以便向 XTM 设备发送必要信息,配置 DIGIPASS Audit Viewer 以正确地生成用于双重认证的令牌,以及配置 XTM 设备以使用 IDENTIKEY Server 进行认证。 还可以配置 Mobile VPN with IPSec 以通过您的 VASCO IDENTIKEY Server 进行认证。

本主题中的步骤假定已在您的网络中配置 IDENTIKEY Server、DIGIPASS Audit Viewer、Mobile VPN with IPSec 和 XTM 设备并正常运行。 下面部分的说明仅侧重于为确保此解决方案的所有方面可以通信所需进行的设置配置。

开始之前

确保:

配置 VASCO 服务器

要将现有 VASCO IDENTIKEY Server 与 XTM 设备配置集成以便使用 DIGIPASS 令牌进行双重认证,您必须在 VASCO 服务器上完成以下过程:

步骤 1 — 创建认证策略

配置 VASCO 服务器的第一步是在 VASCO 服务器上创建一个策略,以指定 XTM 设备在认证过程中联系该服务器时所使用的认证系统。 每个策略指定管理认证请求的方式。 例如,本地认证 策略指定通过 IDENTIKEY Server 认证流量,而后端认证 策略指定使用第三方认证服务器(例如 Active Directory 或 RADIUS 服务器)认证用户。

您还可以使用策略来指定根据组成员身份来确定谁可以通过 XTM 设备认证,以及在注册用户或为用户分配令牌时填充服务器用户数据库。

当您创建新策略时,可以选择以下两种方法之一:

在您使用上述任意方法创建新策略后,编辑策略以指定正确的认证参数。

要使用继承方法创建新策略:

  1. 创建新策略页面的策略 ID 文本框中,键入策略的描述性名称。
    在本例中,键入 WatchGuard
  2. 说明文本框中,键入关于策略用途的说明。
  3. 继承自下拉列表中,选择一个现有策略。
    在本例中,选择 Identikey 本地认证以使用 IDENTIKEY Server。
  1. 单击创建
    新策略将添加至策略列表。

要使用复制方法创建新策略:

  1. 策略页面中,选择一个策略。 因为您想要通过 IDENTIKEY Server 进行认证,所以在本例中,我们选择 Identikey 本地认证策略。
    将显示 Identikey 本地认证策略的管理策略页面。
  1. 单击复制
    将显示复制策略页面。
  1. 策略 ID 文本框中,键入策略的描述性名称。
    在本例中,键入 WatchGuard。
  2. 说明文本框中,键入关于策略用途的说明。
  3. 单击创建
    策略已创建并显示在策略列表中。

要编辑新策略并指定认证参数:

  1. 导航到新策略的管理策略页面并单击编辑
    将显示编辑策略页面。
  2. 选择用户选项卡。
  3. 用户区域,配置用户认证设置。
  4. 滚动到页面底部。
  5. 回应 Radius 属性下拉列表中,选择
  6. 回应 Radius 属性组列表区域,单击添加新并键入 Filter-Id
    此字段区分大小写。
  1. 保存更改。

步骤 2 — 创建 RADIUS 客户端组件记录

要启用 XTM 设备通过 RADIUS 协议向 IDENTIKEY Server 发送客户端认证请求,必须在 IDENTIKEY Server 配置中添加 RADIUS 客户端组件记录。 然后,IDENTIKEY Server 将使用该组件记录查找认证所需的以下项目:

在您安装 IDENTIKEY Server 时,会自动创建默认 RADIUS 客户端组件记录。 您可以删除此记录,并创建用于每个位置的特定记录。

要创建 RADIUS 客户端组件记录:

  1. 在 IDENTIKEY Server Web UI 中,选择客户端选项卡。
  2. 从下拉列表中选择注册
    将显示创建新客户端页面。
  3. 客户端类型文本框的旁边,单击从列表中选择,然后选择 Radius 客户端
  4. 位置文本框中,键入 XTM 设备用于联系 IDENTIKEY Server 的接口的专用 IP 地址。 例如,XTM 设备的可信任接口。
  5. 策略 ID 列表中,选择在步骤 1 中创建的新策略。
  6. 协议 ID 下拉列表中,选择 RADIUS
  7. 共享密码确认共享密码文本框中,键入用于对 XTM 设备与 IDENTIKEY Server 之间的流量进行加密的共享密码。
    请务必记住您在配置 XTM 设备的认证设置时指定的共享密码。
  1. 单击创建
    将显示管理客户端: RADIUS 客户端页面,其中包含您指定的设置。

步骤 3 — 指定进行认证的用户

接下来,必须指定允许哪些用户通过 XTM 设备进行认证。 当您选择用户时,请确保选择没有管理权限的用户。 如果您选择具有管理权限的用户,则无法使用令牌进行认证,因为新策略中的默认设置拒绝从具有管理权限且使用令牌进行认证的用户建立连接。 如果必须选择具有管理权限的用户,请确保在策略设置的用户选项卡中更改此默认设置。 有关详细信息,请参阅排除 IDENTIKEY Server 与 XTM 设备之间的连接故障部分。

要确保 IDENTIKEY Server 收到用户令牌并将信息传递至 XTM 设备,在您配置用户属性设置时,必须添加 Filter-Id 参数。 Filter-Id 参数告知 XTM 设备哪个策略适用于哪个用户,以及每个用户的组成员身份信息。 还必须指定为用户使用哪个 RADIUS 组。 由于 Filter-Id 参数只能管理一个值,因此每个用户只能隶属于一个 RADIUS 组。 当您在 XTM 设备上配置策略和 VPN 设置时,请确保指定相同的 RADIUS 组。

  1. 选择用户选项卡。
    将显示在 IDENTIKEY Server 上配置的用户列表。
  2. 选择允许通过 XTM 设备进行认证的用户。
    确保至少为此用户分配了一个令牌。
  3. 选择用户属性选项卡。
  4. 单击添加 Radius 属性
    将显示创建新用户属性页面。
  5. 属性名称下拉列表中选择 Filter-Id
  6. 属性组文本框中键入 Filter-Id
  7. 文本框中键入此用户的 RADIUS 组的名称。
    例如:Sales、Marketing 或 IT。 确保在您配置 XTM 设备时指定此 RADIUS 组。
  1. 单击创建
    您添加的 Filter-ID RADIUS 属性将显示在管理用户页面上该用户的用户属性选项卡中。

排除 IDENTIKEY Server 与 XTM 设备之间的连接故障

如果 XTM 设备与 IDENTIKEY Server 之间的连接出现问题,可以使用 IDENTIKEY DIGIPASS Audit Viewer 查看关于连接的信息,以帮助您找到配置中的问题。 Audit Viewer 显示 IDENTIKEY Server 上的管理员活动,并显示在连接过程中发生的错误。 要使用 Audit Viewer,您必须具有管理员用户凭据。

要使用 DIGIPASS Audit Viewer:

  1. 在 IDENTIKEY Server 上选择开始 > 程序 > VASCO > IDENTIKEY Server > Digipass Audit Viewer
    将显示 Digipass Audit Viewer。
  2. 右键单击服务器文件夹并选择创建新审核源
    将显示新审核源 - 服务器对话框。
  3. 显示名称文本框中,键入服务器的描述性名称。
    在本例中,键入 Identikey Server
  4. 服务器位置文本框中,键入 IDENTIKEY Server 的 IP 地址。
  5. 审核端口文本框中,键入用于连接到 IDENTIKEY Server 的端口号。
    将自动显示默认端口 20006。 如果您的服务器使用默认端口,则不需要更改此设置。
  1. 单击确定
    将显示审核视图,其中包含您指定的服务器的消息列表。
  2. 要查看列表中任意记录的相关详细信息,请选择该记录。
    记录详细信息将显示在预览部分。
  1. 在 Identikey Server Web UI 中,导航到新策略的管理策略页面,然后选择用户选项卡。
  2. 验证该策略的设置。 如果您选择了具有管理权限的用户,请确保具有管理权限的用户设置不是拒绝。 如果该设置为拒绝,请单击编辑并更改该设置。
  1. 保存更改。

为 XTM 设备配置通过 VASCO 服务器进行认证

要将 XTM 设备与 VASCO IDENTIKEY Server 集成以认证用户,必须完成以下步骤:

步骤 1 — 将 IDENTIKEY Server 添加到 XTM 设备配置中

由于 VASCO IDENTIKEY Server 使用 RADIUS 协议,因此在配置 XTM 设备使用 IDENTIKEY Server 进行认证时,请在认证服务器对话框的 RADIUS 选项卡中指定 IDENTIKEY Server 的设置。

要在 Policy Manager 中将 IDENTIKEY Server 添加到 XTM 设备配置中:

  1. 选择设置 > 认证 > 认证服务器
    将显示认证服务器对话框。
  2. 选择 RADIUS 选项卡。
  3. 选中启用 RADIUS 服务器复选框。
  4. IP 地址文本框中,键入 IDENTIKEY Server 的 IP 地址。
  5. 端口文本框中,键入用于联系 IDENTIKEY Server 的端口。
  6. 密码确认密码文本框中,键入您在配置 IDENTIKEY Server 时指定的共享密码。
  1. 单击确定

步骤 2 — 添加 VASCO 用户和组

要将您在 IDENTIKEY Server 设置中指定的 VASCO 用户和组添加到用于 XTM 设备认证的策略中,必须先将它们添加到 XTM 设备上的授权用户和组列表中。

  1. 选择设置 > 认证 > 授权用户/组
    将显示授权用户和组对话框。
  2. 单击添加
    将显示定义新授权用户或组对话框。
  3. 名称文本框中,键入您在 IDENTIKEY Server 上配置 Filter-Id 的用户属性设置时在文本框中指定的同一名称。
    在本例中,键入 Sales
  4. 说明文本框中,键入组的定义。
  5. 对于类型,确保选择
  6. 认证服务器下拉列表中选择 RADIUS
  1. 单击确定
    Sales 组将显示在授权用户和组对话框中。
  2. 重复步骤 2–6 以添加用户 JaneD。 确保为类型选择用户
  1. 单击确定
    将显示授权用户和组对话框,并且在用户和组列表中包含 Sales 组和 JaneD 用户。
  1. 单击确定保存更改。

步骤 3 — 为已认证用户创建策略

要管理您添加的用户,必须在 XTM 设备上创建策略。 这些策略决定您在策略中指定的已认证用户和组能否访问您的网络。 在本例中,我们配置 Ping 数据包筛选器策略,以允许我们已添加的 VASCO 用户和组对 XTM 设备执行 ping 操作。

在 Policy Manager 中进行:

  1. 单击 添加策略图标
    或者,右键单击策略列表并选择添加策略
    将显示添加策略对话框。
  2. 展开文件夹树并双击某个策略。
    在本例中,展开数据包筛选器树并双击 Ping
    将显示新建策略属性对话框。
  3. 名称文本框中,键入策略的描述性名称。
    在本例中,键入 VASCO Users Ping
  4. 列表中,选择任意可信任,然后单击移除
  5. 部分中,单击添加
    将显示添加地址对话框。
  6. 单击添加用户
    将显示添加授权用户或组对话框。
  7. 类型下拉列表中选择防火墙
    将显示您添加的组。
  8. 选择组并单击选择
    此时会在所选成员和地址列表中显示您选择的组。
  9. 要再添加一个组,请重复步骤 6–8。
  10. 要添加用户,请重复步骤 6–8。 对于类型,指定防火墙用户
    在本例中,添加用户 JaneD
  11. 单击确定
    新策略属性对话框中的自列表将更新您添加的用户和组。
  1. 选择策略选项卡并为该策略启用日志记录。
    有关详细信息,请参阅设置 日志记录和通知首选项
  2. 单击确定关闭每个策略对话框。
  3. 将配置文件保存到 XTM 设备。

测试 VASCO 用户认证

要验证所有配置设置是否正确,可以连接到 XTM 设备上的认证门户,并使用您添加到 XTM 设备的 VASCO 用户凭据登录。 由于 VASCO 服务器的 DIGIPASS 系统发布一次性密码 (OTP),因此在您尝试登录到 XTM 设备认证门户之前,必须获得由 VASCO 令牌或移动令牌应用程序提供的 OTP。 有关如何获取 OTP 的信息,请参阅随您的 VASCO 系统提供的文档。

在您成功通过认证后,可以转到 Firebox System Manager 以查看关于已认证用户的信息。

登录认证门户

  1. 打开 Web 浏览器,然后转到 https://<IP address of the XTM device trusted interface>:4100/
    将显示登录页面。
  1. 用户名文本框中,键入您添加到已认证用户和组列表中的 VASCO 用户的用户名。
    如果您仅添加了组,而没有添加具体用户,则可以键入您添加的组中的任意用户的用户名。
  2. 密码文本框中,键入您指定用户的 VASCO OTP。
  3. 下拉列表中,为域选择认证服务器。
    在本例中,请选择 RADIUS
  4. 单击登录
    将显示认证成功页面。

查看认证列表

要查看哪些用户已通过 XTM 设备上的认证门户的认证,可以在 Firebox System Manager 中查看认证列表

  1. 在 XTM 设备上启动 Firebox System Manager。
  2. 选择认证列表选项卡。
    将显示已认证用户的列表。

由于您使用用户 JaneD 的凭据在 XTM 设备上进行认证,因此 JaneD@RADIUS 将显示在用户列表中。

对 XTM 设备执行 Ping 操作

由于您在 XTM 设备配置中添加了启用日志记录的 Ping 策略,为了确保用户可以连接到网络上的资源,您可以对 XTM 设备执行 Ping 操作并在流量监视器中查看结果。

  1. 打开命令提示符,并对 XTM 设备的外部接口执行 Ping 操作。
  2. 在 Firebox System Manager 中,选择流量监视器选项卡。
    将显示到 XTM 设备的最近流量。

当您在流量监视器中检查 Ping 结果时,可以看到 VASCO Users Ping 组中的一个用户对 XTM 设备执行了 Ping 操作,并且 XTM 设备允许该 Ping 流量通过 XTM 设备。

配置 Mobile VPN with IPSec 通过 VASCO 服务器进行认证

您还可以使用 VASCO IDENTIKEY Server 对 Mobile VPN with IPSec 用户进行认证。 已配置 IDENTIKEY Server 并向 XTM 设备配置添加用户、组和策略后,当您配置 Mobile VPN with IPSec 时可以使用 IDENTIKEY Server 和用户或组信息。

在 Policy Manager 中进行:

  1. 选择 VPN > Mobile VPN > IPSec
    将显示添加 Mobile VPN with IPSec 向导。
  2. 单击下一步启动向导。
    将显示选择用户认证服务器页面。
  3. 认证服务器下拉列表中选择 RADIUS
    这是您已在 XTM 设备上配置的 IDENTIKEY Server。
  4. 在组名称文本框中,键入您添加到已认证用户和组列表中的组的名称。
    在本例中,键入 Sales
  1. 单击下一步
  2. 完成该向导。

在您完成 Mobile VPN with IPSec 向导并且 VPN 已准备就绪可以使用后,您标识的组(本例为 Sales)中的任何用户都可以使用 VPN 连接到您在向导中指定的网络资源。

排除 XTM 设备配置故障

如果您的用户无法通过认证门户或 Mobile VPN with IPSec 进行认证,您可以使用流量监视器和 DIGIPASS Audit Viewer 查看与流量相关的日志消息,以帮助您找到连接中的错误。 这可以帮助您确认认证请求是否成功,并排除与连接相关的任何故障。

流量监视器显示防火墙用户 JaneD@RADIUS 已成功登录,并且获准向网络传递流量。

DIGIPASS Audit Viewer 显示用户 JaneD 已成功通过 IDENTIKEY Server 的用户认证。

请参阅

配置 VASCO 服务器认证

配置外部 认证服务器

设置全局防火墙认证值

提供反馈  •   获得支持  •   全部产品文件  •   知识库