Configuración básica GlobalProtect con inicio de sesión previo

 ¿Qué pasa GlobalProtect con el inicio de sesión previo?

 

Como 'pre-logon' en el nombre indica, GlobalProtect se conecta "antes" de que un usuario inicie sesión en una máquina. La idea detrás del inicio de sesión previo es que el "dispositivo" se conecte a la GlobalProtect puerta de enlace, incluso antes de que un usuario inicie sesión en la máquina, más comúnmente para tener ciertos recursos internos conectados o scripts ejecutados incluso antes de que un usuario inicie sesión. Por ejemplo, en el caso de Windows, GlobalProtect el inicio de sesión previo se conecta a la puerta de enlace mientras el sistema sigue arrancando o está en la pantalla Ctrl+Alt+Del, es decir, antes de que un usuario inicie sesión en el equipo. Pre-inicio de sesión también dará inicio en una vez que entra un usuario de esa máquina. Ya que no existe ningún usuario asociado en estos momentos, la puerta de entrada verá esta conexión proviene de un nombre de usuario genérica llamada 'pre-inicio de sesión'. Una vez que el usuario inicia sesión en la máquina, el túnel obtiene retitulado (en Windows) del usuario 'pre-inicio de sesión' para el actual usuario que iniciado sesión en. En el caso de MAC , el túnel se vuelve a establecer con el usuario real que inició sesión.

 

• El inicio de sesión previo se utiliza con mayor frecuencia junto con 'user-logon' y SSO para que la conexión sea perfecta para el GP usuario.
• Ya que esta trata de dos usuarios llamados 'pre-inicio de sesión' y 'usuario' real, configuraciones de cliente separado necesitan crear bajo portal uno para 'pre-inicio de sesión' y otros 'grupos específicos cualquier usuario'. También se necesitan reglas de seguridad independiente para proporcionar acceso para los usuarios de estos dos.
• Una vez que el 'usuario real' está conectado a GP (es decir, inicio de sesión de usuario), el usuario verá una opción 'disable' (si lo permite el administrador) para deshabilitar la GP aplicación cuando sea necesario.  

Este documento explica la configuración básica GlobalProtect para el inicio de sesión previo con las siguientes consideraciones:

• Autenticación - base de datos local
• Misma interfaz que sirve como portal y puerta de entrada.
• Los certificados raíz, intermedios y de servidor se generan en PAN

 

1. Genere un certificado raíz CA, intermedio CA (opcional) y un certificado de servidor como se explica en el siguiente documento aquí.
 

 

2. Cree un SSL / perfil bajo > > de administración de certificados / perfil de TLS SSL TLS servicio, haciendo referencia al "certificado de servidor" creado anteriormente.

 

3. Cree un perfil de autenticación bajo perfil de autenticación del > del dispositivo y seleccione agregan.

• Nombre - dar un nombre a este perfil de autenticación
• Tipo: elegir Local Database(You may choose ldap,radius etc depending on your requirement)
• Pestaña Avanzado > Lista de permitidos > Agregar - Seleccionar todo (si tiene grupos, puede restringirlo a los grupos requeridos)
• Haga clic OK para guardar.

 

 

 

 

4. Cree una interfaz de túnel en Interfaces de red > > túnel. Proporcione un número de túnel, un enrutador virtual y una zona de seguridad.

Nota: Se recomienda crear una zona separada para el tráfico, ya que ofrece una mayor flexibilidad para crear reglas de seguridad separadas para VPN el VPN tráfico.

Configurar GlobalProtect el portal

5. Configurar GlobalProtect portal
 

• General

  

 

• Autenticación

 

B. En "Autenticación de cliente" seleccione Agregar. Dale cualquier nombre, deja el OS a 'Cualquiera' a menos que quieras restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Haga clic OK para guardar.

 

Nota: Se debe cumplir una de las 3 condiciones siguientes para que funcione el inicio de sesión previo:

i. Portal contiene 'perfil de certificado' pero 'no' cookies
de autenticaciónNota: Cuando el portal / puerta de enlace están en el mismo IP, el perfil de certificado de puerta de enlace tendrá prioridad sobre el perfil de certificado de portal.    Si se requiere el perfil de certificado del portal, el portal/puerta de enlace debe estar en un archivo .IP

ii. El portal "no" contiene 'perfil de certificado' pero tiene 'cookies de autenticación'.

(En este caso, la primera GP conexión debe ser realizada por un usuario, que creará dos cookies una para el 'usuario' y otra para 'pre-inicio de sesión'. A partir de entonces, el pre-inicio de sesión funcionará.)

(Intentar 'pre-inicio de sesión' por primera vez sin tener un usuario conectado GP con anterioridad no funcionará en este caso ya que la cookie 'pre-inicio de sesión' sólo se generará después de que un usuario se inicia sesión por primera vez.)

iii. El portal contiene tanto 'perfil de certificado' como 'cookies de autenticación'.

 

•  Agente

Nota: Necesitará dos configuraciones de cliente si necesita una configuración independiente después de que los usuarios inicien sesión en la puerta de enlace: una para el inicio de sesión previo al inicio de sesión y la segunda para cualquier usuario o grupo de usuarios específicos.

 

• Configuración de cliente para iniciar la pre-sesión

 

• Agregue una configuración de usuario previa al inicio de sesión

 

a. Autenticación

• Dar cualquier nombre a esta configuración de cliente
• Certificado de cliente - dejar a ninguno, sólo esto será necesario si queremos empujar un certificado de cliente a los clientes para fines de autenticación.
• Guardar las credenciales de usuario - Yes (por defecto)
• (Opcional) Anulación de autenticación: Marque las casillas 'Generar cookie para la anulación de autenticación' y 'Aceptar cookie para la anulación de autenticación'. Esta cookie se puede cifrar/descifrar utilizando cualquier certificado que se seleccione en el menú desplegable de 'Certificado para cifrar/descifrar cookie'.

  

B. Grupo de usuarios/usuarios

• Seleccione 'pre-logon' en el menú desplegable

 

IMPORTANT!

c. Externo 

• En 'Puertas de enlace externas', haga clic en Agregar. Dale cualquier nombre.
• Dirección: escriba la dirección o a IP la que se hizo referencia en el certificado Nombre FQDN común( ) o Nombre alternativo del sujeto CN ( ) del paso SAN 1. En este ejemplo entramos ' gp.portal-gw01.local'

   

d. App 

• En el menú desplegable 'Connect-method', seleccione 'Pre-logon(Always On)'.

   

e. Haga clic OK para guardar.

 

• Configuración de cliente para los usuarios reales

• Agregar una nueva configuración de cliente

a. Autenticación

• Dar cualquier nombre a esta configuración de cliente
• Certificado de cliente - dejar a ninguno, sólo esto será necesario si queremos empujar un certificado de cliente a los clientes para fines de autenticación.
• Guardar las credenciales de usuario - Yes (por defecto)
• (Opcional) Anulación de autenticación: Marque las casillas 'Generar cookie para la anulación de autenticación' y 'Aceptar cookie para la anulación de autenticación'. Esta cookie se puede cifrar/descifrar utilizando cualquier certificado que se seleccione en el menú desplegable de 'Certificado para cifrar/descifrar cookie'.

 

 

IMPORTANT!

 

c. Externo

• En 'Puertas de enlace externas', haga clic en Agregar. Dale cualquier nombre.
• Dirección: escriba la dirección o a IP la que se hizo referencia en el certificado Nombre FQDN común( ) o Nombre alternativo del sujeto CN ( ) del paso SAN 1. En este ejemplo entramos ' gp.portal-gw01.local'

 

d. App

• Bajo 'Método Connect' menú desplegable, seleccione 'Pre-logon(Always On)'.
• También, asegúrese de que 'Single Sign-on' es a 'Sí'.

    

e. Haga clic OK para guardar.

 

F. En 'Raíz de CA confianza', seleccione la raíz y el CA intermedio CA . También, seleccione 'Instalar en almacén de certificados raíz Local' para instalar los certificados en el almacén de certificados de raíz local del cliente después de que el cliente se conecta correctamente al portal por primera vez.

 

G. Haga clic OK para guardar y cerrar la configuración del GlobalProtect portal.

 

Configurar Perfil de certificado de cliente

 

(Ubicación: > perfil de certificado de administración de certificados de>)

Perfil de certificado especifica una lista de CAs y CAs intermedio. Cuando este perfil de certificado se aplica a la configuración, el portal/puerta de enlace enviará una solicitud de certificado de cliente al cliente para solicitar un certificado de cliente/máquina firmado por el CA /intermediate CA especificado en el perfil de certificado. Se recomienda colocar los CA raíz e intermedios en este perfil, en lugar de solo la CA raíz.

  

IMPORTANT!

El certificado de cliente hace referencia al certificado de usuario,se puede utilizar para los métodos de conexión 'user-logon'/'on-demand'. Se utiliza para autenticar a un usuario.

 

El certificado de máquina se refiere al certificado del dispositivo,se puede utilizar para el método de conexión "pre-logon". Esto se usa para autenticar un dispositivo, no un usuario.

 

• Importe la CA "Raíz" que firmó el certificado cliente/máquina en Device> Certificate Management >Certificates (clave privada opcional)
• Importar el "CAs intermedio" si firmó el certificado de cliente de máquina dispositivo > Gestión de certificados > certificados (clave privada opcional)
• Ir a dispositivo > gestión del certificado > certificado de perfil, añadir.
• Asigne un nombre al perfil.
• Añadir lo anterior raíz y CAs intermedio.

• Nota:El campo de nombre de usuario por abandono se fija a 'ninguno', en la configuración típica donde el nombre de usuario se extrae de la autenticación ldap/radius usted puede dejar esto a ninguno. En el otherhand, si los certificados son el único método de autenticación es decir si no tienes radio/ldap para la autenticación del portal/puerta de enlace entonces debe cambiar campo username de ninguno 'Asunto' o 'Subj Alt' para extraer el nombre de usuario del nombre común del certificado de cliente o nombre de correo electrónico, director. No hacer esto resultará en falta de confirmación.
• (opcional) Compruebe CRL o si el OCSP portal/puerta de enlace necesita verificar el estado de revocación del cliente/equipo mediante CRL o OCSP . Utilice esto con precaución ya que puede causar clientes pudiendo conectar si utiliza junto con 'Sesión de bloque si el estado del certificado es desconocida'.
• Referencia este certificado perfil portal/puerta de entrada según sea necesario.

  

Configurar GlobalProtect puerta de enlace

6. Vaya a Red> GlobalProtect > Puertas de enlace y seleccione Agregar.

• General - Asigne un nombre al gateway y seleccione la interfaz que actúa como gateway en el menú desplegable.

 

• Ficha Autenticación. Esto es similar al paso 6, pero esto es para la puerta de entrada.

Un. En SSL / perfil de TLS servicio, seleccione el / perfil creado SSL en el paso TLS 2 desde el menú desplegable.

b. Autenticación de cliente > Agregar. Déle cualquier nombre, deje el OS a 'cualquiera' a menos que desee restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Seleccione el perfil de certificado creado antedicho de la lista desplegable

d. Haga clic OK para guardar.

 

 

• Ficha Agente.

a. Configuración del túnel. Marque el "modo del túnel" para habilitar el modo de túnel y seleccione la interfaz del túnel creada en el paso 4 del descenso-abajo.

b. Habilite IPSec. Marque esta casilla para habilitar el IPSec, esto es altamente recomendado. Con esta configuración habilitada, GP siempre intentará conectarse primero a través de IPSec, si falla, entonces vuelve a GP SSL .

 

c. Configuración del tiempo de espera: déjelos por defecto. Para cualquier cambio en esto, consulte la GP guía de administración.

d. Configuración del cliente

Haga clic en Agregar> Dar un nombre a la configuración de cliente config

(Opcional) Anulación de autenticación:Marque las casillas 'Generarcookie para la anulación de autenticación' y 'Aceptar cookie para la anulación de autenticación'.

Esta cookie se puede cifrar/descifrar utilizando cualquier certificado seleccionado en el menú desplegable de 'Certificado para cifrar/descifrarcookie'.

Nota: Si se seleccionó un certificado en el paso 7 del portal, se debe seleccionar el mismo certificado aquí en Gateway 'certificado para cifrar/descifrar cookie'.

 

e. Ficha Config Selection Criteria (Criterios de selección de configuración). Deje el OS grupo y usuario a 'cualquiera' (Puede restringirlo a los grupos requeridos si lo desea).

 

IMPORTANT!

Si se elige un grupo del menú desplegable, asegúrese de que el GlobalProtect usuario forma parte de este grupo, si no, el cliente recibirá la dirección de la puerta de NOT IP enlace.

 

Los problemas comunes aquí son cuando el usuario es identificado GlobalProtect como 'dominio\usuario', pero firewall 's userid puede tenerlo como 'dominio completo\usuario', en esos casos asegúrese de que el grupo/ usuario se muestra idéntico en ambos lugares mediante la sobrescritura del campo de dominio en la asignación de usuario-identificación> grupo.

f. Configuración de red.

Bajo el pool ip:

 

IMPORTANT!

• GlobalProtect gateway asignará direcciones IP de este grupo a los clientes. Especifique uno o varios IP intervalos de grupo que con cualquiera de las redes existentes en la DO NOT OVERLAP organización. Superposición de subredes puede causar problemas de enrutamiento y las interrupciones de red.
• (Opcional pero recomendado) Puede agregar un segundo IP rango de grupo para la copia de seguridad que será útil en los casos en que el usuario conecte un wifi que proporciona el mismo rango de grupo que IP su grupo IP principal.

g. Ruta de acceso > túnel dividido. Esto define a qué subredes pueden llegar GP los clientes una vez que están conectadas a la puerta de enlace.

• Si 'Include' se deja en blanco, lo toma como 0.0.0.0/0, es decir, todo el tráfico del GP cliente se verá obligado a pasar por el GP túnel.
• Para tunelización dividida:Especifique subredes internas requeridas como 10.0.0.0/8, 192.168.x.0/24, etc. para que GP el cliente utilice el túnel para alcanzar solamente estas subredes. Cualquier cosa fuera de estas subredes se accederá directamente desde la red local del cliente, esto se llama split tunneling.

H. Haga clic OK para guardar y cerrar la configuración del cliente. Uno más OK para guardar y cerrar la configuración de la puerta de GP enlace.

7. Cree un nombre de usuario/contraseña local en Dispositivo > Base de datos de usuarios locales > Usuarios para realizar pruebas.

8. Cree políticas y seguridad NAT para que la zona recién creada dé acceso VPN adecuadamente.

9. Confirme los cambios.

 

Instalar cert máquina cliente en cliente final

 

Se trata de un pre-inicio de sesión, por lo tanto, necesitamos con certificado de la 'máquina'.

 

Al importar un certificado de máquina, impórtelo en PKCS formato que contendrá su clave privada.

 

Ventanas -

 

1. Haga clic en Iniciar > Ejecutar, escriba mmc para abrir la consola de administración de certificados de Microsoft.

2. Vaya a > agregar o quitar complemento

 

 

 

IMPORTANT!

 

3. Haga clic en Certificados > Agregar y seleccione uno o ambos de los siguientes:

 

Un. Para agregar el certificado de máquina (dispositivo), seleccione 'Cuenta de equipo'. Esto se utiliza para 'pre-logon' ya que autentica una máquina.

 

 

 

 

 

 

4. Importe el certificado de la máquina en mmc.

Para la importación de máquina certificarte, importarlo a la carpeta 'Personal' en 'Cuenta de equipo'

 

 

 

5. Importe de manera similar la Raíz CA en las «Entidades de certificación raíz de confianza y cas intermedias(si las hubiera) en las «Autoridades intermedias de certificación»

 

 

 

IMPORTANT!

 

6. Una vez importado, haga doble clic en el certificado de máquina importado para asegurarse de que

 

a. tiene clave privada

b. su cadena de certificados está llena hasta su CA raíz. Si falta la cadena raíz CA o CA intermedia, impórtelas a sus respectivas carpetas como se explica en el paso 5.

 

 

 

 

 

7. En este momento los certificados se importan en el cliente, usted puede cerrar la consola mmc sin guardarla.

 

A la prueba en la máquina cliente

 

1. Desde el navegador vaya a https://gp.portal-gw01.local/ es decir, https://<portal-ip / fqdn>

2. Introduzca las credenciales

3. Descargar el GP cliente

4. En el GP cliente, ingrese la dirección y las credenciales del portal, haga clic en conectar.

5. En la puerta de firewall enlace, verá que el usuario real está conectado.

6. Cierre sesión desde ese ordenador para simular la situación previa al inicio de sesión

7. En la puerta de firewall enlace, verá al usuario de inicio de sesión previo conectado.

8. Inicie sesión en el ordenador con el nombre de usuario real,

9. En la puerta de firewall enlace, verá que el inicio de sesión previo cambia el nombre al usuario real.