一部の VPN クライアントは、RADIUS を使用してユーザーを認証できます。下記から VPN を選択して、Foxpass と統合するように VPN を構成する方法の説明を読みます。
Meraki Wireless システムとは異なり、Meraki VPN は高度に安全なバージョンの RADIUS をサポートしません。それは PAP を使用します。PAP についてはここで詳しく説明されています。:RADIUS は安全ですか?
PAP はアカウントでデフォルトで無効になっていますが、[RADIUS クライアント] ページで有効にすることができます。
高度なセキュリティを確保したい場合は、インフラストラクチャ内で実行することにより、Foxpass RADIUS プロキシを介して RADIUS パケットをトンネリングできます。
まず、RADIUS プロキシをダウンロードして実行します。
更新: 次の CLI コマンドを使用します (このページから)。
set vpn l2tp remote-access authentication require pap
古い情報: Vyatta 由来の L2TP/ipsec VPN サーバーは、MS-CHAP パスワード認証を要求するようにハードコーディングされています。残念ながら、クラウドでホストされている RADIUS もRADIUS プロキシもこれをサポートできません。
Vyatta は最終的に単なる Linux ボックスであるため、これは非常に簡単な修正です。
まず、RADIUS プロキシをダウンロードして実行します。
# sudo vi /opt/vyatta/share/perl5/Vyatta/L2TPConfig.pm
「refuse pap = yes」という行を見つけて、「require pap = yes」に変更します。ここで、ローカル・マシン (127.0.0.1) を RADIUS ホストとして使用するように Vyatta VPN 構成を変更します。構成が保存されると、基礎となる構成ファイルが再生成され、PAP が有効になります。
セキュリティ通知
PAP (パスワード認証プロトコル) は安全でないプロトコルです。ただし、これらの VPN は ipsec に加えて L2TP を使用するため、送信は暗号化されます。
少なくともバージョン 4.4.36.5146617 の Unifi Security Gateway では、デフォルトで PAP が有効になっていません。これにより、Foxpass で RADIUS 認証が失敗します。有効にすることはできますが、手順は Unifi Security Gateway がスタンドアロン デバイスであるか、Unifi コントローラによって管理されているかによって異なります。
このセクションは、Unifi コントローラーを使用する場所のみを対象としています
コントローラーを使用しない場合は、手順 3 に進みます。
少なくともバージョン 5.9.29-11384-1 の Unifi コントローラーでは、GUI 内で PAP を有効にすることはできません。Ubiquiti サポート記事UniFi-USG Advanced Configurationで説明されているように、JSON ファイルを作成して Controller にアップロードする必要があります。
- 任意のエディターでプレーン テキスト ファイルを作成し、以下のテキストを貼り付けて、「config.gateway.json」として保存します。または、このセクションを既存のファイルに組み込みます。プロビジョニング ループを回避するために、JSON 構文が正しいことを検証します。
-
Security Gateway ではなく、Unifi コントローラに SSH で接続し、コントローラ管理者の資格情報でログインします。
-
ディレクトリを <unifi_base>/data/sites/<site_ID> に変更します。<unifi_base> と <site_ID> の値の決定については、上記のリンク先のサポート記事を参照してください。たとえば、「cd /srv/unifi/data/sites/default」
- 選択したファイル転送プロトコル (SCP など) を使用して、ファイルをコントローラーにコピーします。
- ファイルの所有権と権限を調整します。たとえば、「chown unifi:unifi config.gateway.json」および「chmod または config.gateway.json」
- ログアウト
- GUI 内からゲートウェイのプロビジョニングを強制します ([UniFi コントローラー デバイス] > [USG] > [構成] > [デバイスの管理] > [プロビジョニングの強制])。
これらの手順の一部は、Ubiquiti サポート記事EdgeRouter - L2TP IPsec VPN Serverに基づいています。
-
ゲートウェイに SSH で接続し、デバイス管理者の資格情報でログインします。
-
「configure」と入力して設定モードに入ります。
- 「set vpn l2tp remote-access authentication require pap」と入力して、PAP の使用を有効にします。
- (オプション) 「show vpn」と入力して、変更した候補構成を表示します (先頭のプラス文字で示される行)。
- 「commit ; save」と入力して、構成の変更をコミットして保存します。
- それぞれ、終了およびログアウトします。
セキュリティ通知
PAP (パスワード認証プロトコル) は安全でないプロトコルです。ただし、これらの VPN は ipsec に加えて L2TP を使用するため、送信は暗号化されます。