Configuration de base avec pré-ouverture de GlobalProtect session

 Qu’est-ce GlobalProtect qu’il y a avec le pré-logon ?

 

Comme le nom l'indique, GlobalProtect « pré-ouverture de session » est connecté « avant » qu'un utilisateur se connecte à une machine. L’idée derrière le pré-logon est d’avoir l'«appareil » se connecter à la passerelle, avant même GlobalProtect qu’un utilisateur se connecte à la machine, le plus souvent pour avoir certaines ressources internes connectées ou des scripts exécutés avant même qu’un utilisateur se connecte. Par exemple, dans le cas de Windows, le pré-logon se connecte à la passerelle pendant que le système démarre encore ou se trouve à GlobalProtect l’écran Ctrl+Alt+Del, c’est-à-dire avant qu’un utilisateur ne se connecte à la machine. Avant ouverture de session donnera également le coup une fois qu’un utilisateur se déconnecte de cette machine. Puisqu’il n’y a aucun utilisateur associé à ces moments, la passerelle qui verra ce propos venant d’un nom d’utilisateur générique appelé « préalable d’ouverture de session ». Une fois que l’utilisateur ouvre une session la machine, le tunnel obtient renommé (dans Windows) de l’utilisateur « pre » l’utilisateur « réel » qui s’est connecté à. Dans le cas de MAC , le tunnel est rétabli avec l’utilisateur réel qui s’est connecté.

 

• Pré-logon est le plus couramment utilisé en conjonction avec « user-logon » et SSO de sorte que la connexion est transparente pour GP l’utilisateur.
• Puisqu’il s’agit du deux utilisateurs appelés « avant ouverture de session » et le « utilisateur » réel, configs distincte du client doivent être créées sous le portail l’un pour « avant ouverture de session » et d’autres « groupes d’utilisateurs spécifiques/tout ». Règles de sécurité distincts sont également nécessaires pour offrir l’accès à ces deux utilisateurs.
• Une fois que l’utilisateur réel est connecté GP à (c’est à dire l’utilisateur-logon), l’utilisateur verra une option « désactiver » (si autorisé par admin) pour désactiver GP l’application en cas de besoin.  

Ce document explique la GlobalProtect configuration de base du pré-logon avec des considérations suivantes :

• Authentification - base de données locale
• Même interface servant de portail et de porte d’entrée.
• Les certs root, intermédiaires et serveurs sont générés sur PAN

 

1. Générez un certificat racine CA, intermédiaire CA (facultatif) et un certificat de serveur comme expliqué dans le document suivant ici.
 

 

2. Créer un SSL / profil sous device > Certificate Management > / Profil de TLS SSL TLS service, se référant à ce qui précède créé « certificat serveur ».

 

3. Créez un profil d’authentification sous l'> profil d’authentification et sélectionnez Ajouter.

• Nom - donnez un nom à ce profil d’authentification
• Type - choisir Local Database(You may choose ldap,radius etc depending on your requirement)
• Onglet Avancé > Liste verte > Ajouter - Sélectionner tout (si vous avez des groupes, vous pouvez le restreindre aux groupes obligatoires)
• Cliquez OK pour enregistrer.

 

 

 

 

4. Créez une interface de tunnel sous Network > Interfaces > Tunnel. Fournir un numéro de tunnel, un routeur virtuel et une zone de sécurité.

Note: Il est recommandé de créer une zone distincte pour le trafic car cela donne une meilleure flexibilité pour créer des règles de sécurité distinctes pour VPN le VPN trafic.

Configurer GlobalProtect le portail

5. Configurer le GlobalProtect portail
 

• Généralités

  

 

• Authentification

 

B. Sous « Authentification client » sélectionnez Ajouter. Donnez-lui n’importe quel nom, laissez OS le à « N’importe quel » sauf si vous voulez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Cliquez OK pour enregistrer.

 

Note: L’une des 3 conditions suivantes doit être remplie pour que la pré-ouverture de session fonctionne :

i. Le portail contient un « profil de certificat » mais pas de cookies
d’authentificationRemarque : lorsque le portail/passerelle est sur le mêmeIP, le profil de certificat de passerelle prévaut sur le profil de certificat de portail.    Si le profil de certificat du portail est requis, le portail/passerelle doit être sur un fichier différent IP.

ii. Portal ne contient « pas » de « profil de certificat », mais a des « cookies auth ».

(Dans ce cas, la toute première GP connexion doit être faite par un utilisateur, qui créera deux cookies l’un pour l’utilisateur et l’autre pour « pré-logon ». A partir de là, le pré-logon fonctionnera.)

(Tenter de « pré-logon » dans la première fois sans avoir un utilisateur connecté à GP précédemment ne fonctionnera pas dans ce cas puisque le cookie « pré-logon » ne sera généré qu’après qu’un utilisateur est connecté dans la première fois.)

iii. Portal contient à la fois le « profil du certificat » et les « cookies auth ».

 

•  Agent

Note: Vous aurez besoin de deux configurations client si vous avez besoin d'une configuration distincte après que les utilisateurs se sont connectés à la passerelle : une pour la pré-ouverture de session et une seconde pour tous les utilisateurs/groupes d'utilisateurs spécifiques.

 

• Configuration de client pour avant ouverture de session

 

• Ajouter un config utilisateur pré-logon

 

a. Authentification

• Donner un nom à cette configuration de client
• Certificat client - laissez-le voix contre zéro, ce sera seulement nécessaire si nous voulons pousser n’importe quel certificat de client à des fins d’authentification, les clients.
• Enregistrer les informations d’identification utilisateur - Yes (valeur par défaut)
• (Facultatif) Remplacement de l’authentification : cochez les cases pour « Générer un cookie pour le remplacement d’authentification » et « Acceptez le cookie pour l’authentification ». Ce cookie peut être chiffré/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'.

  

B. Groupe utilisateur/utilisateur

• Sélectionnez 'pré-logon' de drop-down

 

IMPORTANT!

c. Externes 

• Sous 'External Gateways', cliquez sur Ajouter. Donne-lui n’importe quel nom.
• Adresse - Entrez IP l’adresse ou FQDN qui a été référencée dans le certificat Nom commun CN () ou Nom alternatif du sujet ( SAN ) de l’étape 1. Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'

   

d. App 

• Sous 'Connect-method' drop down, sélectionnez'Pre-logon(Always On)'.

   

E. Cliquez OK pour enregistrer.

 

• Configuration de client pour les utilisateurs actuels

• Ajouter un nouveau client config

a. Authentification

• Donner un nom à cette configuration de client
• Certificat client - laissez-le voix contre zéro, ce sera seulement nécessaire si nous voulons pousser n’importe quel certificat de client à des fins d’authentification, les clients.
• Enregistrer les informations d’identification utilisateur - Yes (valeur par défaut)
• (Facultatif) Remplacement de l’authentification : cochez les cases pour « Générer un cookie pour le remplacement d’authentification » et « Acceptez le cookie pour l’authentification ». Ce cookie peut être chiffré/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'.

 

 

IMPORTANT!

 

c. Externes

• Sous 'Passerelles externes', cliquez sur Ajouter. Donne-lui n’importe quel nom.
• Adresse - Entrez IP l’adresse ou FQDN qui a été référencée dans le certificat Nom commun CN () ou Nom alternatif du sujet ( SAN ) de l’étape 1. Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'

 

d. App

• Sous « Connect-méthode » liste déroulante, sélectionnez « Pre-logon(Always On) ».
• En outre, assurez-vous que « Single Sign-on » a la valeur « Oui ».

    

e. Cliquez OK pour enregistrer.

 

F. Sous 'Trusted CA Root', sélectionnez la racine CA et intermédiaire CA . Aussi, sélectionnez « Installer dans le magasin de certificats racine Local » pour installer ces certificats dans le magasin de certificats racine local du client après que le client se connecte avec succès sur le portail pour la première fois.

 

G. Cliquez OK pour enregistrer et fermer le portail GlobalProtect config.

 

Configurer le profil de certificat Client

 

(Lieu : Profil de > de certificat d'> decertificat)

Profil de certificat spécifie une liste de CAs et des autorités de certification intermédiaires. Lorsque ce profil de certificat est appliqué au config, le portail/passerelle enverra une demande de certificat client au client pour demander un cert client/machine signé par CA le /intermédiaire CA spécifié dans le profil cert. Nous recommandons de placer à la fois la racine et les CA intermédiaires dans ce profil, au lieu de simplement la racine CA .

  

IMPORTANT!

Certificat client se réfère à l’utilisateur cert, il peut être utilisé pour « user-logon»/'on-demand' connect méthodes. Utilisé pour authentifier un utilisateur.

 

Certificat de machine se réfère à l’appareil cert, il peut être utilisé pour « pré-logon méthode de connexion. Ceci est utilisé pour authentifier un appareil, pas un utilisateur.

 

• Importer la « Racine CA » qui a signé le cert client/machine dans Device> Certificate Management >Certificates (clé privée optionnelle)
• Importer les « autorités de certification intermédiaires » s’il en est qui a promulgué le cert/machine client périphérique > Certificate Management > certificats (clé privée en option)
• Allez dans appareil > gestion des certificats > certificat profil, ajouter.
• Donnez un nom au profil.
• Ajouter ce qui précède racine et autorités de certification intermédiaires.

• Remarque: Le champ nom d’utilisateur par défaut est défini sur « Aucun », dans la configuration typique où le nom d’utilisateur est tiré de l’authentification ldap/radius, vous pouvez laisser cela à aucun. Sur l’otherhand, si des certificats sont la seule méthode d’authentification, c’est à dire si vous n’avez pas de rayon/ldap pour l’authentification portail/porte d’entrée vous devez remplacer champ nom d’utilisateur d’aucun à « Obj » ou « Subj Alt » extraire username le nom commun du certificat client ou nom email/principal. Faute de quoi cela se traduira par l’échec de validation.
• (facultatif) Vérifiez CRL ou si le OCSP portail/passerelle doit vérifier l’état de révocation du client/machine cert à l’aide CRL ou OCSP . S’il vous plaît utilisez-le avec prudence car elle peut entraîner chez les clients de ne pas se connecter si utilisé en conjonction avec « Session de bloc si le statut du certificat est inconnu ».
• Ce certificat profil portal/portail de référence selon les besoins.

  

Configurer la GlobalProtect passerelle

6. Passez au réseau> GlobalProtect > passerelles et sélectionnez Ajouter.

• Général - Donnez un nom à la passerelle et sélectionnez l’interface qui sert de passerelle à partir de la chute vers le bas.

 

• Onglet Authentification. Ceci est similaire à l’étape 6, mais il s’agit de la porte d’entrée.

Un. Sous SSL / profil de TLS service, sélectionnez SSL le / profil créé à TLS l’étape 2 de la baisse.

b. L’authentification > ajouter. Donnez-lui n’importe quel nom, laissez-le OS à « n’importe quel » à moins que vous ne souhaitez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Sélectionnez le profil de certificat créé ci-dessus à partir de drop down

d. Cliquez OK pour enregistrer.

 

 

• Agent Tab.

a. Paramètres du tunnel. Vérifiez le mode Tunnel pour activer le mode tunnel et sélectionnez l’interface tunnel créée à l’étape 4 à partir de la chute.

b. Activer IPSec. Cochez cette case pour activer IPSec, ceci est fortement recommandé. Avec ce paramètre activé, GP sera toujours essayer de se connecter d’abord sur IPSec, si elle échoue, puis GP retombe à SSL .

 

c. Paramètres de délai d’attente - laissez-les par défaut. Pour toute modification à cela, se référer au GP guide admin.

d. Paramètres du client

Cliquez sur Ajouter> donner un nom aux paramètres clients config

(Facultatif) Remplacement de l’authentification: Cochez les cases pour «Générer un cookie pour le remplacementd’authentification » et « Acceptez le cookie pour l’authentification ».

Ce cookie peut être crypté/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/DecryptCookie'.

Remarque: Si un certificat a été sélectionné à l'étape 7 sous portail, le même certificat doit être sélectionné ici sous Gateway 'certificat pour crypter/décrypter le cookie'.

 

e. Onglet Critères de sélection Config. Laissez le OS groupe et l’utilisateur à « n’importe quel » (Vous pouvez le limiter aux groupes requis si vous le voulez).

 

IMPORTANT!

Si un groupe est choisi parmi le drop-down, assurez-vous que GlobalProtect l’utilisateur fait partie de ce groupe, sinon le client recevra NOT IP l’adresse de la passerelle.

 

Les problèmes courants ici sont lorsque l’utilisateur est identifié par GlobalProtect comme « domaine \utilisateur », firewall mais « l’userid peut l’avoir comme « domaine entièrement qualifié \utilisateur », dans ces cas assurez-vous que le groupe / utilisateur est montré identique aux deux endroits en surécrivant champ de domaine dans l’identification de l’utilisateur>groupe de cartographie.

f. Paramètres réseau.

Sous le pool Ip :

 

IMPORTANT!

• GlobalProtect la passerelle attribuera des ADRESSES IP de ce pool aux clients. Spécifiez les plages IP de pool d’un ou plusieurs DO NOT OVERLAP qui avec l’un des réseaux existants dans l’organisation. Chevauchement des sous-réseaux peut causer des problèmes de routage et des pannes de réseau.
• (Facultatif mais recommandé) Vous pouvez ajouter une deuxième plage IP de pool pour la sauvegarde qui sera utile dans les cas où l’utilisateur connecte un wifi qui fournit la IP même plage de pool que votre pool IP principal.

g. Split Tunnel > Access Route. Cela définit les sous-réseaux qui peuvent être atteints par les clients une fois GP qu’ils sont connectés à la passerelle.

• Si « Inclure » est laissé vide, il le prend comme 0.0.0.0/0 c’est-à-dire tout le trafic GP du client sera forcé de passer par le GP tunnel.
• Pour le tunnelage fractionné: Spécifiez les sous-réseaux internes requis comme 10.0.0.0/8, 192.168.x.0/24 etc. afin GP que le client utilise le tunnel pour atteindre uniquement ces sous-réseaux. Rien à l’extérieur de ces sous-réseaux est accessibles directement depuis le réseau local du client, c’est ce qu’on appelle tunnellisation fractionnée.

h. Cliquez OK pour enregistrer et fermer les paramètres du client. Un de plus OK pour enregistrer et fermer les paramètres de GP passerelle.

7. Créez un nom d’utilisateur/mot de passe local sous l'> base de données utilisateur locale > utilisateurs pour les tests.

8. Créer des stratégies de NAT sécurité et de sécurité pour que la zone VPN nouvellement créée donne accès de manière appropriée.

9. Engagez les modifications.

 

Installation de cert/machine cliente au client final

 

Il s’agit d’un avant ouverture de session, c’est pourquoi nous devons utiliser le certificat « machine ».

 

Lors de l’importation d’un certificat machine, PKCS l’importer dans le format qui contiendra sa clé privée.

 

Fenêtres -

 

1. Cliquez sur démarrer > Run, taper mmc pour ouvrir la console de gestion des certificats Microsoft.

2. Passez au fichier > ajouter/supprimer snap-in

 

 

 

IMPORTANT!

 

3. Cliquez sur certificats > ajouter et sélectionner l’un ou les deux de ce qui ci-dessous:

 

Un. Pour ajouter le certificat machine(appareil), sélectionnez «Compte informatique». Ceci est utilisé pour «pré-logon » caril authentifie une machine.

 

 

 

 

 

 

4. Importer le certificat de machine dans mmc.

Pour l’importation de machine certificarte, importez-le dans dossier « Personnel » sous « Ordinateur compte »

 

 

 

5. Importent également la racine CA dans les « autorités de certificat racine de confiance et les CA intermédiaires (le cas échéant) dans les « autorités de certification intermédiaire »

 

 

 

IMPORTANT!

 

6. Une fois importé, cliquez deux fois sur le certificat de machine importé pour vous assurer

 

a. il a une clé privée

b. sa chaîne de certificats est pleine jusqu’à sa CA racine. Si la chaîne manque racine ou CA CA intermédiaire, importez-les dans leurs dossiers respectifs comme expliqué dans l’étape 5.

 

 

 

 

 

7. À ce stade, les certificats sont importés sur le client, vous pouvez fermer la console mmc sans l’enregistrer.

 

Pour tester sur une machine cliente

 

1. Depuis le navigateur, allez à https://gp.portal-gw01.local/ c’est-à-dire https://<portal-ip/fqdn>

2. Entrez les informations d’identification

3. Télécharger le GP client

4. Dans le GP client, entrez l’adresse et les informations d’identification du portail, cliquez sur se connecter.

5. Sur la firewall passerelle, vous verrez que l’utilisateur réel connecté.

6. Déconnectez-vous de cet ordinateur pour simuler la situation pré-logon

7. Sur la firewall passerelle, vous verrez l’utilisateur pré-logon connecté.

8. Connectez-vous à l’ordinateur avec le nom d’utilisateur réel,

9. Sur la firewall passerelle, vous verrez le pré-logon est rebaptisé à l’utilisateur réel.