Instellen van de ZyWALL SSL10 voor ASAS Radius server


referentie Z211B


Aanmaken van een groep voor authenticatie middel de ZyWALL OTP tokens

  1. Meld aan op de ZyWALL SSL10 als admin.
  2. Ga in het hoofdmenu (links) naar User/Group en vervolgens naar het tabblad Group.
  3. Klik op het toevoeg-icoon om een nieuwe groep aan te maken.
  4. Maak een groep aan die gebruikt gaat worden voor authenticatie middels de ZyWALL OTP tokens. De optie Group in the AAA Server gekozen worden. In dit voorbeeld is de naam ssl_radius_auth gebruikt.

    Klik vervolgens op OK om de groep aan te maken.

Aanmaken van een webapplicatie

Vervolgens dient er een applicatie aangemaakt te worden waarvan de groep gebruik van kan maken.

  1. Ga vanuit het hoofdmenu naar Object > SSL Application en klik op de toevoeg-icoon.
  2. Vul de gegevens in van de applicatie. In dit voorbeeld wordt een webapplicatie toegevoegd die zich op http://172.17.17.100/webapplicatie bevindt.
  3. Klik op de knop OK om de webapplicatie aan te maken.

Aanmaken van een SSL Policy

  1. Kies in het hoofdmenu SSL. Klik in het tabblad Policy op de toevoeg-icoon.
  2. Voeg nu een policy toe door de groep en applicatie die zojuist aan gemaakt is aan te vinken. In dit voorbeeld wordt de policy aangemaakt met de naam sslpolicy.
  3. Klik op OK om de policy aan te maken.

De AAA server instellen

  1. Kies in het hoofdmenu System > AAA Server. Kies bij Server type voor RADIUS. In dit voorbeeld wordt als Server Address 172.17.17.95 ingevuld. Dit moet het ip-adres van de ASAS Radius Server zijn. Als Server Secret is gekozen abcdefghijklmn.
  2. Klik op OK om de gegevens te bevestigen

Instellen van de ASAS Radius Server

Aanmelden op de ASAS Web Management Console (WMC)

Allereerst moet er aangemeld worden op de ASAS Radius Server. In dit voorbeeld gaan we uit dat de ASAS Radius Server geïnstalleerd is op 172.17.17.95. De op Web Management Console van de ASAS Radius Server te bereiken via http://<ip-adres>:8080/asas. In dit voorbeeld zou dat dus http://172.17.17.95:8080/asas moeten zijn.

Om aan te melden bij ASAS Radius Server is een ZyWALL OTP token nodig die als Administrator token is geselecteerd tijdens het importeren van de tokens naar de ASAS Radius Server.

Standaard heeft een administrator token de gebruikersnaam admin<ESN-nummer>. Deze moet in het veld UserID ingevuld worden. De PIN is standaard de laatste vier cijfers van het ESN-nummer. Het One-Time Password is het zes cijferige nummer dat op de token verschijnt wanneer het knopje van de ZyWALL OTP token wordt ingedrukt.

Het kan zijn dat er bij het eerste keer aanmelden dat de WMC de melding geeft dat de token niet meer synchroon is en dat er opnieuw aangemeld moet worden.

NAS entry aanmaken

De SSL10 moet aan de ASAS Radius server toegevoegd worden zodat de SSL10 gebruik mag maken van de ASAS Radius Server voor authenticatie. Dit wordt bereikt door een NAS entry maken.

Een nieuwe NAS entry kan aangemaakt worden vanuit het hoofdmenu te kiezen: Server Configuration > NAS Entries > Add NAS Entry.

De volgende gegevens moeten ingevuld worden:

Klik op Add om de nieuwe gebruikersgroep aan te maken.

 

Gebruikersgroep aanmaken

Een gebruikersgroep moet aangemaakt worden met dezelfde naam als de naam die gebruikt is voor de gebruikersgroep in de ZyWALL SSL 10.

In dit voorbeeld wordt de naam ssl_radius_auth gebruikt.

  1. In het hoofdmenu (links) kan een nieuwe groep aangemaakt middels Manage Groups > Add/Edit Groups. Typ vervolgens de naam van de groep in en klik op Add.
  2. klik in de lijst met gebruikersgroep op View/Edit Group.
  3. Voeg zywallssl10 toe aan de lijst met Resource(s) Allowed.
  4. Kies vervolgens voor Update.

 

Gebruikers koppelen aan de gebruikersgroep

Om gebruikers te koppelen aan de gebruikersgroep, ga vanuit het hoofdmenu naar: Manage Users > Search Users.

  1. Klik op Get Results.
  2. Klik in het kolom login id op de gebruikersnaam die toegevoegd moet worden aan de gebruikersgroep. In dit voorbeeld wordt admin73101700 gebruikt.
  3. Voeg de gewenste gebruikersgroep toe aan Group(s) Selected en de juiste NAS entry in Resource(s) Allowed. Merk op dat onder Assigned A-Key het ESN-nummer van de token staat, die momenteel is toegewezen
    In dit voorbeeld is de gebruikersgroep ssl_radius_auth en de NAS entry is zywallssl10.
  4. Klik op Update User om de wijzingen op te slaan.

 

Herstarten van de ASAS Radius Server

Als laatste stap moet de ASAS Radius Server herstart worden. Ga hiervoor naar de server waarop ASAS Radius Server is geïnstalleerd en voer uit: Start > Programs > Authenex > ASAS_3.0 > Restart Authenex Radius Server.

Controleer of de ASAS Radius Server volledig operationeel is. Dit kan gecontroleerd worden door aan te melden op de Windows Server en vervolgens te kiezen: Start > Programs > Administrative Tools > Services. In het venster dat verschijnt moet gecontroleerd worden dat Apache Tomcat, ASAS Authentication Server en ASAS Replication Service gestart zijn.

 

Aanmelden op de ZyWALL SSL 10

Om aan te melden op de ZyWALL SSL 10, ga naar de webpagina. Voer bij User Name het login id in die via de ASAS Web Management Console zojuist geconfigureerd is. In dit voorbeeld was dat admin73101700. Bij password moet de PIN van de ZyWALL OTP token worden ingevoerd. Standaard zijn dit de laatste vier cijfers van het ESN-nummer van de ZyWALL OTP token. In dit voorbeeld zou dit dus 1700 moeten zijn. In het veld One-Time Password moet het nummer dat de ZyWALL OTP token genereert ingevuld worden. Dit is een getal dat uit zes cijfers bestaat.