Grundkonfiguration GlobalProtect mit Voranmeldung

 Was ist GlobalProtect mit Pre-Logon?

 

Wie "pre-logon" im Namen schon sagt, ist verbunden, GlobalProtect "bevor sich ein Benutzer an einem Computer anmeldet". Die Idee hinter der Voranmeldung ist es, dass das "Gerät" mit dem Gateway verbunden wird, noch bevor sich GlobalProtect ein Benutzer am Computer anmeldet, am häufigsten, um bestimmte interne Ressourcen verbunden zu haben oder Skripts ausgeführt zu haben, noch bevor sich ein Benutzer anmeldet. Im Fall von Windows wird beispielsweise vor der Anmeldung eine GlobalProtect Verbindung mit dem Gateway hergestellt, während das System noch hochstartet oder sich auf dem Bildschirm Strg+Alt+Del befindet, d. h., bevor sich ein Benutzer am Computer anmeldet. Vor der Anmeldung wird auch eintreten, sobald die Maschine ein Benutzer abmeldet. Da gibt es keine Benutzer, die zu diesen Zeiten verbunden, wird das Gateway hierbei aus einer generischen Benutzernamen genannt "Pre-Anmeldung" angezeigt. Sobald der Benutzer auf den Computer anmeldet, bekommt der Tunnel umbenannt (in Windows) vom Benutzer vor der Anmeldung für den tatsächlichen Benutzer, die angemeldet. Im Fall von MAC wird der Tunnel mit dem tatsächlichen Benutzer, der sich angemeldet hat, wiederhergestellt.

 

• Die Voranmeldung wird am häufigsten in Verbindung mit der "Benutzeranmeldung" SSO verwendet, sodass die Verbindung nahtlos zum Benutzer hergestellt GP wird.
• Da es sich um zwei Benutzer namens "vor der Anmeldung" und "Anwender" handelt, müssen separate Client-Konfigurationen unter einem Portal für "vor der Anmeldung" und andere "any/spezifische Nutzergruppen" erstellt werden. Separate Sicherheits-Regeln sind erforderlich, um Zugang für diese zwei Benutzer zur Verfügung zu stellen.
• Sobald der 'tatsächliche Benutzer' verbunden ist GP (d. h. Benutzeranmeldung), wird dem Benutzer eine "Deaktivieren"-Option angezeigt (falls vom Administrator erlaubt), um die Anwendung bei Bedarf zu GP deaktivieren.  

In diesem Dokument wird die grundlegende Konfiguration für die GlobalProtect Voranmeldung mit folgenden Überlegungen erläutert:

• Authentifizierung - lokale Datenbank
• Gleiche Schnittstelle dient als Portal und Gateway.
• Stamm-, Zwischen- und Serverzertifikate werden auf PAN

 

1. Generieren Sie ein Stamm- CA, Zwischen CA - (optional) und ein Serverzertifikat, wie im folgenden Dokument hier beschrieben.
 

 

2. Erstellen Sie ein SSL / Profil unter Device > Certificate Management > / Service TLS SSL TLS Profile, in Anlehnung an das oben erstellte 'Serverzertifikat'.

 

3. Erstellen Sie ein Authentifizierungsprofil unter Device > Authentication Profile und wählen Sie Hinzufügenaus.

• Name - geben Sie einen Namen für diese Authentifizierungsprofil
• Typ - wählen Sie lokale Database(You may choose ldap,radius etc depending on your requirement)
• Registerkarte "Erweitert" > Zulassungsliste > Hinzufügen - Alle auswählen (Wenn Sie Gruppen haben, können Sie sie auf erforderliche Gruppen beschränken)
• Klicken Sie OK hier, um zu speichern.

 

 

 

 

4. Erstellen Sie unter Netzwerk- > Schnittstellen > Tunnel eine Tunnelschnittstelle. Geben Sie eine Tunnelnummer, einen virtuellen Router und eine Sicherheitszone an.

Anmerkung: Es wird empfohlen, eine separate Zone für den Datenverkehr zu erstellen, da dies eine größere Flexibilität beim Erstellen separater Sicherheitsregeln für VPN den VPN Datenverkehr bietet.

Portal konfigurieren GlobalProtect

5. Konfigurieren Sie GlobalProtect Portal
 

• Allgemein

  

 

• Authentifizierung

 

B. Wählen Sie unter "Clientauthentifizierung" Add. Geben Sie ihm einen Beliebigen Namen, lassen Sie die OS zu "Alles", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Klicken OK Sie, um zu speichern.

 

Anmerkung: Eine der folgenden 3 Bedingungen muss erfüllt sein, damit die Voranmeldung funktioniert:

i. Portal enthält "Zertifikatsprofil", aber "keine" Authentifizierungscookies
   Hinweis: Wenn sich Portal/Gateway auf demselben IPKonto befinden, hat das Gateway-Zertifikatprofil Vorrang vor dem Portalzertifikatprofil. Wenn Portal Cert Profile erforderlich ist, muss Portal/Gateway auf einem anderen IP.

ii. Portal enthält "kein" "Zertifikatsprofil", sondern "Auth-Cookies".

(In diesem Fall muss die allererste GP Verbindung von einem Benutzer hergestellt werden, der zwei Cookies für den "Benutzer" und andere für die "Voranmeldung" erstellt. Von da an funktioniert die Voranmeldung.)

(Der Versuch, "Pre-Logon" zum ersten Mal zu versuchen, ohne dass ein Benutzer zuvor verbunden GP ist, funktioniert in diesem Fall nicht, da das 'Pre-Logon'-Cookie erst generiert wird, nachdem ein Benutzer zum ersten Mal angemeldet wurde.)

iii. Das Portal enthält sowohl "Zertifikatsprofil" als auch "Auth-Cookies".

 

•  Agent

Anmerkung: Sie benötigen zwei Clientkonfigurationen, wenn Sie eine separate Konfiguration benötigen, nachdem sich Benutzer tatsächlich am Gateway angemeldet haben: eine für die Voranmeldung und die zweite für alle Benutzer/bestimmte Benutzergruppen.

 

• Client-Config für vor der Anmeldung

 

• Hinzufügen einer Pre-Logon-Benutzerkonfiguration

 

a. Authentifizierung

• Geben Sie einen beliebigen Namen zu diesem Client-config
• Client-Zertifikat - lassen Sie es zu keiner, dies wird nur benötigt, wenn wollen wir Client-Zertifikat für Kunden zwecks Authentifizierung.
• Speichern der Anmeldeinformationen des Benutzers - ja (Standard)
• (Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für 'Cookie für Authentifizierungsüberschreibung generieren' und 'Cookie für Authentifizierungsüberschreibung akzeptieren'. Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wird.

  

B. Benutzer/Benutzergruppe

• Wählen Sie 'pre-logon' aus Dropdown

 

IMPORTANT!

c. Externe 

• Klicken Sie unter "Externe Gateways" auf Hinzufügen. Geben Sie ihm einen Namen.
• Adresse- Geben Sie die IP Adresse ein oder auf die im Zertifikat Common FQDN Name( ) oder Subject Alternate Name( ) von Schritt 1 verwiesen CN SAN wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"

   

d. App 

• Wählen Sie unter 'Connect-method' Dropdown 'Pre-logon(Always On)'.

   

E. Klicken Sie OK hier, um zu speichern.

 

• Client-Config für Endbenutzer

• Hinzufügen einer neuen Clientkonfiguration

a. Authentifizierung

• Geben Sie einen beliebigen Namen zu diesem Client-config
• Client-Zertifikat - lassen Sie es zu keiner, dies wird nur benötigt, wenn wollen wir Client-Zertifikat für Kunden zwecks Authentifizierung.
• Speichern der Anmeldeinformationen des Benutzers - ja (Standard)
• (Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für 'Cookie für Authentifizierungsüberschreibung generieren' und 'Cookie für Authentifizierungsüberschreibung akzeptieren'. Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wird.

 

 

IMPORTANT!

 

c. Externe

• Klicken Sie unter "Externe Gateways" auf Hinzufügen. Geben Sie ihm einen Namen.
• Adresse- Geben Sie die IP Adresse oder die im Zertifikat Common FQDN Name( ) oder Subject Alternate Name( ) von Schritt 1 referenziert CN SAN wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"

 

d. App

• Unter "Connect-Methode" Dropdown-Liste, wählen Sie "Pre-Logon(Always On)".
• Stellen Sie außerdem sicher, dass 'Single Sign-on' auf 'Yes' eingestellt ist.

    

e. Klicken Sie OK hier, um zu speichern.

 

F. Wählen Sie unter 'Trusted CA Root' die Wurzel und die CA Zwischendatei CA aus. Wählen Sie "Install im Zertifikatspeicher lokalen Root" auch diese Zertifikate im Zertifikatspeicher des Auftraggebers lokalen Root installieren, nachdem der Client erfolgreich auf das Portal zum ersten Mal verbindet.

 

G. Klicken Sie OK hier, um die Portalkonfiguration zu speichern und zu GlobalProtect schließen.

 

Konfigurieren von Client-Zertifikat-Profil

 

(Standort: Device > Zertifikatsverwaltung > Zertifikatprofil)

Zeugnisvorlage gibt eine Liste der Zertifizierungsstellen und Zwischenzertifizierungsstellen. Wenn dieses Zertifikatprofil auf die Konfiguration angewendet wird, sendet das Portal/Gateway eine Clientzertifikatanforderung an den Client, um ein Client-/Maschinenzertifikat anzufordern, das durch das CA im Zertifikatsprofil angegebene /intermediate signiert CA ist. Es wird empfohlen, sowohl die Stamm- als auch die Zwischenzertifizierungsstellen in diesem Profil zu platzieren, anstatt nur die Wurzel CA .

  

IMPORTANT!

Clientzertifikat bezieht sich auf Benutzerzertifikat, es kann für 'user-logon'/'on-demand' Verbindungsmethoden verwendet werden. Wird verwendet, um einen Benutzer zu authentifizieren.

 

Maschinenzertifikat bezieht sich auf Gerätezertifikat, es kann für "Pre-Logon" Connect-Methode verwendet werden. Dies wird verwendet, um ein Gerät zu authentifizieren, nicht einen Benutzer.

 

• Importieren des CA "Root", der das Client/Computerzertifikat signiert hat, in Device> Zertifikatsverwaltung >Zertifikate (optionaler privater Schlüssel)
• Die "Zwischenzertifizierungsstellen" zu importieren, falls vorhanden, die das Clientcomputer/Cert in Gerät signiert > Certificate Management > Zertifikate (optional privater Schlüssel)
• Gerät zur > Zertifikatsverwaltung > Zertifikat-Profil hinzufügen.
• Geben Sie einen Namen für das Profil.
• Fügen Sie die oben genannten Wurzel und Zwischenzertifizierungsstellen.

• Hinweis:Das Benutzernamefeld ist standardmäßig auf "Keine" festgelegt, in typischen Setups, in denen der Benutzername aus der ldap/radius-Authentifizierung gezogen wird, können Sie dies keiner belassen. Auf dem Otherhand Wenn Zertifikate die einzige Methode der Authentifizierung dh sind haben Sie keinen Radius/Ldap für Portal/Gateway-Authentifizierung müssen Sie Feld Benutzername aus keiner 'Subj' oder 'Subj Alt' extrahieren Benutzernamen aus der Client Zertifikat common Name oder e-Mail-/ Auftraggeber ändern. Andernfalls führt zu Fehler begehen.
• (optional) Überprüfen CRL Sie, OCSP ob das Portal/Gateway den Sperrstatus des Client/Maschinenzertifikats mithilfe von überprüfen CRL OCSP muss. Bitte verwenden Sie diese mit Vorsicht, da es in Verbindung, wenn verwendet in Verbindung mit "Block-Sitzung wenn Zertifikatsstatus unbekannt ist"-Clients führen kann.
• Dieses Zertifikat Profil Portal/Gateway zu verweisen, nach Bedarf.

  

Konfigurieren von GlobalProtect Gateway

6. Gehen Sie zu Netzwerk> GlobalProtect > Gateways und wählen Sie Hinzufügen aus.

• Allgemein - Geben Sie dem Gateway einen Namen, und wählen Sie die Schnittstelle aus, die als Gateway dient, aus der Dropdownliste aus.

 

• Authentifizierungsregisterkarte. Dies ist vergleichbar mit Schritt 6 fort, aber dies ist für das Gateway.

Eine. Wählen Sie unter SSL / TLS Serviceprofil das SSL in Schritt 2 erstellte Profil aus TLS der Dropdown-Liste aus.

b. Client Authentication > Add. Geben Sie ihm einen Namen, lassen Sie die OS zu "any", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Wählen Sie das oben erstellte Zertifikatsprofil aus der Dropdown-Liste

d. Klicken OK Sie, um zu speichern.

 

 

• Agent-Registerkarte.

a. Tunneleinstellungen. Aktivieren Sie den Tunnelmodus, um den Tunnelmodus zu aktivieren, und wählen Sie die tunnelschnittstelle aus, die in Schritt 4 erstellt wurde, aus der Dropdown-Liste.

b. Aktivieren Sie IPSec. Aktivieren Sie dieses Kontrollkästchen, um IPSec zu aktivieren.  Wenn diese Einstellung aktiviert GP ist, wird immer versucht, zuerst eine Verbindung über IPSec herzustellen, wenn es GP fehlschlägt, dann auf SSL zurück.

 

c. Timeout-Einstellungen - lassen Sie sie auf Standardwerte. Änderungen hieran finden Sie im GP Admin-Handbuch.

d. Client-Einstellungen

Klicken Sie auf Hinzufügen> Geben Sie einen Namen an die Konfiguration "Clienteinstellungen" an.

(Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für "Cookiefür Authentifizierungsüberschreibung generieren" und "Cookie für Authentifizierungsüberschreibung akzeptieren".

Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsselnvon Cookies" ausgewähltwurde.

Hinweis: Wenn in Schritt 7 unter Portal ein Zertifikat ausgewählt wurde, muss das gleiche Zertifikat hier unter Gateway 'Zertifikat zum Verschlüsseln/Entschlüsseln des Cookies' ausgewählt werden.

 

e. Registerkarte "Konfigurationsauswahlkriterien". Überlassen Sie die OS Gruppe und die Benutzergruppe "any" (Sie können sie auf erforderliche Gruppen beschränken, wenn gewünscht).

 

IMPORTANT!

Wenn eine Gruppe aus der Dropdownliste ausgewählt wird, stellen Sie sicher, dass der GlobalProtect Benutzer Teil dieser Gruppe ist, wenn nicht der Client eine Adresse vom Gateway NOT IP erhält.

 

Häufige Probleme sind hier, wenn der Benutzer durch "Domain-Benutzer" identifiziert wird, GlobalProtect aber firewall 'die Benutzer-ID kann es als "vollqualifizierte Domäne-Benutzer" haben, in diesen Fällen stellen Sie sicher, dass die Gruppe/Benutzer an beiden Stellen identisch angezeigt wird, indem Sie das Domänenfeld in der Benutzeridentifizierung>Gruppenzuordnung überschreiben.

f. Netzwerkeinstellungen.

Unter dem Ip-Pool:

 

IMPORTANT!

• GlobalProtect Gateway wird IpPs aus diesem Pool Clients zuweisen. Geben Sie einen oder mehrere IP Poolbereiche an, die mit einem der vorhandenen Netzwerke in der Organisation vorhanden DO NOT OVERLAP sind. Überlappende Subnetze kann dazu führen, dass Routingprobleme und Netzwerkausfällen.
• (Optional, aber empfohlen) Sie können einen zweiten Poolbereich für Backups hinzufügen, der IP in Fällen nützlich ist, in denen der Benutzer ein WLAN verbindet, das denselben IP Poolbereich wie Ihr primärer IP Pool bereitstellt.

g. Split Tunnel > Access Route. Dadurch wird definiert, welche Subnetze von Clients erreicht werden können, sobald sie mit dem GP Gateway verbunden sind.

• Wenn 'Include' leer gelassen wird, wird es als 0.0.0.0/0 benötigt, d. h. der gesamte Datenverkehr vom GP Client wird gezwungen, durch den Tunnel zu GP gehen.
• Für Split-Tunneling: Geben Sie erforderliche interne Subnetze wie 10.0.0.0/8, 192.168.x.0/24 usw. an, damit GP der Client den Tunnel verwendet, um nur diese Subnetze zu erreichen. Alles außerhalb dieser Subnetze werden direkt vom lokalen Netzwerk des Clients zugegriffen werden, dies nennt man Split-tunneling.

H. Klicken Sie OK hier, um Clienteinstellungen zu speichern und zu schließen. Eine OK weitere, um Gateway-Einstellungen zu speichern und zu GP schließen.

7. Erstellen Sie einen lokalen Benutzernamen/Ein-Kennwort unter Device > Local User Database > Users for testing.

8. Erstellen Sie Sicherheit und NAT Richtlinien für die neu erstellte VPN Zone, um den Zugriff entsprechend zu gewähren.

9. Übernehmen Sie die Änderungen.

 

Installation von Client-Rechner/Cert in Endkunde

 

Dies ist eine vor der Anmeldung, damit wir 'Maschine' Zertifikat verwenden müssen.

 

Importieren Sie beim Importieren eines Computerzertifikats das PKCS Format, das seinen privaten Schlüsselenthält.

 

Windows -

 

1. Klicken Sie auf start > Ausführen, geben Sie mmc ein, um die Microsoft-Zertifikatverwaltungskonsole zu öffnen.

2. Gehen Sie zu Datei > Snap-In hinzufügen/entfernen

 

 

 

IMPORTANT!

 

3. Klicken Sie auf Zertifikate > Hinzufügen und wählen Sie eine oder beide der folgenden:

 

Eine. Um ein Computer-(Geräte-)Zertifikat hinzuzufügen, wählen Sie 'Computerkonto'. Dies wird für 'Pre-Logon' verwendet, da es einen Computer authentifiziert.

 

 

 

 

 

 

4. Importieren Sie das Maschinenzertifikat in mmc.

Importieren Sie für den Import von Maschine Certificarte es in "Persönlich" Ordner unter "Computerkonto"

 

 

 

5. Importieren Sie den Stamm in CA die "Trusted Root Certificate Authorities and Intermediate CAs(falls vorhanden) in den "Zwischenzertifizierungsstellen"

 

 

 

IMPORTANT!

 

6. Doppelklicken Sie nach dem Import auf das importierte Maschinenzertifikat, um

 

a. es hat einen privaten Schlüssel

b. seine Zertifikatskette vollständig bis zum Stamm CA ist. Wenn der Kette Root CA oder Intermediate CA fehlt, importieren Sie sie in ihre jeweiligen Ordner, wie in Schritt 5 erläutert.

 

 

 

 

 

7. An diesem Punkt werden die Zertifikate auf dem Client importiert, Sie können die mmc-Konsole schließen, ohne sie zu speichern.

 

Auf Client-Rechner testen

 

1. Gehen Sie vom Browser zu https://gp.portal-gw01.local/ dh https://<portal-ip/fqdn>

2. Geben Sie die Anmeldeinformationen ein

3. Laden Sie den GP Client herunter

4. Geben Sie im GP Client die Portaladresse und die Anmeldeinformationen ein und klicken Sie auf Verbinden.

5. Auf dem Gateway firewall sehen Sie, dass der tatsächliche Benutzer verbunden ist.

6. Abmelden von diesem Computer, um die Voranmeldungssituation zu simulieren

7. Auf dem Gateway firewall wird der Benutzer vor der Anmeldung verbunden.

8. Melden Sie sich mit dem tatsächlichen Benutzernamen am Computer an,

9. Auf dem Gateway sehen Sie, dass firewall die Voranmeldung in tatsächlichen Benutzer umbenannt wird.