基本GlobalProtectログオン前の構成
Symptom
この記事では、GlobalProtectログオン前方式のポータルおよびゲートウェイ。
Environment
- パロアルト ファイアウォール
- 対応 PAN-OS
- GlobalProtect
- ログオン前
Resolution
とはGlobalProtectログオン前?
名前の「ログオン前」が示すように、GlobalProtectユーザーがマシンにログオンする「前に」接続されます。 ログオン前の背後にある考え方は、「デバイス」をGlobalProtectゲートウェイは、ユーザーがマシンにログインする前であっても、最も一般的には特定の内部リソースを接続したり、ユーザーがログインする前にスクリプトを実行したりするために使用されます。 たとえば、Windows の場合、GlobalProtect pre-logon get connect は、システムがまだ起動中または Ctrl+Alt+Del 画面にいる間、つまり、ユーザーがマシンにログインする前に、ゲートウェイに接続します。 ユーザーがそのマシンからログオフすると、ログオン前も開始されます。 これらの時点でユーザーが関連付けられていないため、ゲートウェイは、この接続が「ログオン前」と呼ばれる一般的なユーザー名から来ていることを認識します。 ユーザーがマシンにログオンすると、トンネルの名前が (Windows で) 「ログオン前」ユーザーから実際にログインした「ユーザー」に変更されます。 の場合MAC、ログインした実際のユーザーでトンネルが再確立されます。
- ログオン前は、'user-logon' と組み合わせて最も一般的に使用されます。SSOそのようにGP接続はユーザーにとってシームレスです。
- これは「ログオン前」と実際の「ユーザー」と呼ばれる 2 人のユーザーを扱うため、「ログオン前」用のポータルと「任意/特定のユーザー グループ」用の別のクライアント構成を作成する必要があります。 これら 2 人のユーザーにアクセスを提供するには、個別のセキュリティ ルールも必要です。
- 「実際のユーザー」が接続されると、GP (つまり、ユーザー ログオン)、ユーザーには、(管理者によって許可されている場合) 無効にするための「無効」オプションが表示されます。GP必要に応じて申請してください。
このドキュメントでは、基本的な説明について説明しますGlobalProtect次の点を考慮して、ログオン前の設定を行います。
- 認証 - ローカル データベース
- ポータルとゲートウェイとして機能する同じインターフェイス。
- ルート証明書、中間証明書、およびサーバー証明書が生成されます PAN
1.ルートを生成するCA、 中級CA(オプション)、および以下で説明するサーバー証明書ドキュメントはこちら.
2. を作成しますSSL/TLSプロフィールデバイス > 証明書管理 >SSL /TLSサービス プロファイル、上記で作成した「サーバー証明書」を参照します。
3. 以下に認証プロファイルを作成します。デバイス > 認証プロファイルそして選択追加.
- 名前 - この認証プロファイルに名前を付けます
- タイプ - ローカル データベースを選択します (要件に応じて LDAP、半径などを選択できます)。
- [詳細] タブ > [許可リスト] > [追加] - すべて選択 (グループがある場合は、必要なグループに制限できます)
- クリックOK保存する。
4. 下にトンネル インターフェイスを作成します。ネットワーク > インターフェース > トンネル. トンネル番号、仮想ルーター、およびセキュリティ ゾーンを指定します。
ノート:別のゾーンを作成することをお勧めしますVPNトラフィックに対して個別のセキュリティ ルールを作成する柔軟性が向上するためです。VPNトラフィック。
構成、設定GlobalProtectポータル
5.設定GlobalProtectポータル
- 全般的
- 認証
b. 「クライアント認証」の下で選択します追加.任意の名前を付けて、OS制限したくない場合を除き、「Any」に変更します。 [認証プロファイル] で、手順 3 で作成した認証プロファイルを選択します。
c.クリックOK保存する。
ノート:ログオン前が機能するには、次の 3 つの条件のいずれかを満たす必要があります。
私。ポータルには「証明書プロファイル」が含まれていますが、認証 Cookie は「ありません」
ノート:ポータル/ゲートウェイが同一の場合IP、ゲートウェイ証明書プロファイルがポータル証明書プロファイルよりも優先されます。 ポータル証明書プロファイルが必要な場合、ポータル/ゲートウェイは別の場所にある必要がありますIP.
ii.ポータルには「証明書プロファイル」は含まれていませんが、「認証 Cookie」は含まれています。
(この場合、一番最初にGP接続はユーザーが行う必要があります。これにより、1 つは「ユーザー」用、もう 1 つは「ログオン前」用の 2 つの Cookie が作成されます。 それ以降は、事前ログオンが機能します。)
(ユーザーが接続していない状態で初めて「ログオン前」を試みると、GP 「ログオン前」Cookie は、ユーザーが初めてログインした後にのみ生成されるため、この場合は以前は機能しませんでした。)
iii.ポータルには、「証明書プロファイル」と「認証 Cookie」の両方が含まれています。
- エージェント
ノート:ユーザーが実際にゲートウェイにログインした後に別の構成が必要な場合は、2 つのクライアント構成が必要になります。1 つはログオン前用、もう 1 つは任意のユーザー/特定のユーザー グループ用です。
- ログオン前のクライアント構成
- ログオン前のユーザー構成を追加する
を。認証
- このクライアント構成に任意の名前を付けます
- クライアント証明書 - なしのままにします。これは、認証目的でクライアント証明書をクライアントにプッシュする場合にのみ必要です。
- ユーザー資格証明の保存 - はい (デフォルト)
- (オプション) 認証の上書き: のボックスをオンにします。認証オーバーライド用の Cookie を生成する」および「認証オーバーライド用の Cookie を受け入れる」。 この Cookie は、[Cookie を暗号化/復号化する証明書] のドロップダウンから選択した任意の証明書を使用して暗号化/復号化できます。 '。
b. ユーザー/ユーザーグループ
- ドロップダウンから「ログオン前」を選択します
IMPORTANT!
c.外部の
- [外部ゲートウェイ] の下で、追加.それに任意の名前を付けます。
- 住所 - 入力してくださいIP住所またはFQDNこれは、証明書の Common Name(CN ) またはサブジェクトの別名(SAN ) ステップ 1 の この例では、「gp.portal-gw01.local」と入力します
d.App
- 「接続方法」ドロップダウンで、「ログオン前 (常時オン) '。
e.クリックOK保存する。
- 実際のユーザーのクライアント構成
- 新しいクライアント構成を追加する
を。認証
- このクライアント構成に任意の名前を付けます
- クライアント証明書 - なしのままにします。これは、認証目的でクライアント証明書をクライアントにプッシュする場合にのみ必要です。
- ユーザー資格証明の保存 - はい (デフォルト)
- (オプション) 認証の上書き: ' のボックスをオンにします。認証オーバーライド用の Cookie を生成する」および「認証オーバーライド用の Cookie を受け入れる」。 この Cookie は、[Cookie を暗号化/復号化する証明書] のドロップダウンから選択した任意の証明書を使用して暗号化/復号化できます。 '。
IMPORTANT!
c.外部の
- [外部ゲートウェイ] の下で、追加.それに任意の名前を付けます。
- 住所 - 入力してくださいIP住所またはFQDNこれは、証明書の Common Name(CN ) またはサブジェクトの別名(SAN ) ステップ 1 の この例では、「gp.portal-gw01.local」と入力します
d. App
- [接続方法] ドロップダウンで、[ログオン前 (常にオン)] を選択します。
- また、「シングル サインオン」が「はい」に設定されていることを確認します。
e.クリックOK保存する。
f. 「信頼されたルート」の下CA'、ルートを選択CAと中間CA. また、[ローカル ルート証明書ストアにインストール] を選択して、クライアントが初めてポータルに正常に接続した後に、これらの証明書をクライアントのローカル ルート証明書ストアにインストールします。
g.クリックOKを保存して閉じますGlobalProtectポータル構成。
クライアント証明書プロファイルの構成
(位置:デバイス > 証明書管理 > 証明書プロファイル)
証明書プロファイルは、CA と中間 CA のリストを指定します。 この証明書プロファイルが構成に適用されると、ポータル/ゲートウェイは、クライアント証明書要求をクライアントに送信して、証明書によって署名されたクライアント/マシン証明書を要求します。CA /中級CA証明書プロファイルで指定されています。 ルート CA だけでなく、ルート CA と中間 CA の両方をこのプロファイルに配置することをお勧めしますCA.
IMPORTANT!
クライアント証明書が指すユーザー証明書、それはのために使用することができます「ユーザー ログオン」/「オンデマンド」メソッドを接続します。 慣れているユーザーを認証します。
機械証明書が指すデバイス証明書、それはのために使用することができます「ログオン前」接続方法。 これは慣れているユーザーではなく、デバイスを認証します。
- 「ルートをインポートするCA" クライアント/マシンの証明書を [デバイス] > [証明書の管理] > [証明書] (オプションの秘密キー) に署名します。
- クライアント/マシン証明書に署名した「中間 CA」がある場合は、[デバイス] > [証明書の管理] > [証明書] (オプションの秘密キー) にインポートします。
- [デバイス] > [証明書の管理] > [証明書プロファイル]、[追加] の順に移動します。
- プロファイルに名前を付けます。
- 上記のルート CA と中間 CA を追加します。
- ノート: ユーザー名フィールドはデフォルトで「なし」に設定されています。ユーザー名が ldap/radius 認証から取得される一般的なセットアップでは、これを「なし」のままにしておくことができます。 一方、証明書が認証の唯一の方法である場合、つまり、ポータル/ゲートウェイ認証用の radius/ldap がない場合は、ユーザー名フィールドを none から「Subj」または「Subj Alt」に変更して、クライアント証明書からユーザー名を抽出する必要があります。一般名または電子メール/プリンシパル名。 これを行わないと、コミットが失敗します。
- (オプション) チェックCRLまたOCSPポータル/ゲートウェイがクライアント/マシン証明書の失効ステータスを確認する必要がある場合CRLまたOCSP. これを「証明書のステータスが不明な場合はセッションをブロックする」と組み合わせて使用すると、クライアントが接続に失敗する可能性があるため、注意して使用してください。
- 必要に応じて、この証明書プロファイル ポータル/ゲートウェイを参照してください。
構成、設定GlobalProtectゲートウェイ
6. ネットワーク >GlobalProtect > ゲートウェイと選択追加。
- 全般的 -ゲートウェイに名前を付け、ドロップダウンからゲートウェイとして機能するインターフェースを選択します。
- 認証タブ. これはステップ 6 と似ていますが、これはゲートウェイ用です。
を。下SSL/TLSサービス プロファイルで、SSL /TLSステップ 2 で作成したプロファイルをドロップダウンから選択します。
b.クライアント認証 > 追加。任意の名前を付けて、OS制限したくない場合を除き、「any」にします。 [認証プロファイル] で、手順 3 で作成した認証プロファイルを選択します。
c.上記で作成した証明書プロファイルをドロップダウンから選択します
d.クリックOK保存する。
- エージェントタブ.
を。トンネル設定。 [トンネル モード] をオンにしてトンネル モードを有効にし、手順 4 で作成したトンネル インターフェイスをドロップダウンから選択します。
b. IPSec を有効にする. IPSec を有効にするには、このボックスをオンにします。強くお勧めします。この設定を有効にすると、GPは常に最初に IPSec 経由で接続を試み、失敗した場合は次に接続します。GPフォールバックSSL.
c.タイムアウト設定 - デフォルトのままにします。 これに対する変更については、次を参照してください。GP管理ガイド。
d.クライアント設定
[追加] > [クライアント設定構成に名前を付ける] をクリックします
(オプション)認証オーバーライド: ' のボックスにチェックを入れます認証オーバーライド用の Cookie を生成する」および「認証オーバーライド用の Cookie を受け入れる」。
この Cookie は、[Cookie を暗号化/復号化する証明書] のドロップダウンから選択した任意の証明書を使用して暗号化/復号化できます。 '。
ノート注: ポータルの手順 7 で証明書を選択した場合は、ゲートウェイの [Cookie を暗号化/復号化する証明書] で同じ証明書を選択する必要があります。
e.構成選択基準タブ。 出てOSおよびユーザーグループを「任意」にします(必要に応じて、必要なグループに制限できます)。
IMPORTANT!
ドロップダウンからグループを選択した場合は、GlobalProtectユーザーはこのグループのメンバーです。そうでない場合、クライアントはNOT受け取るIPゲートウェイからのアドレス。
ここでの一般的な問題は、ユーザーがによって識別される場合です。GlobalProtect 「ドメイン\ユーザー」としてしかしfirewallのユーザー ID には「完全修飾ドメイン\ユーザー」が含まれる場合があります。その場合は、ユーザー ID > グループ マッピングのドメイン フィールドを上書きして、両方の場所でグループ/ユーザーが同一であることを確認してください。
f.ネットワーク設定。
Ip プールの下:
IMPORTANT!
- GlobalProtect ゲートウェイは、このプールからクライアントに IP を割り当てます。 を 1 つ以上指定します。IPプール範囲DO NOT OVERLAP組織内の既存のネットワークのいずれかと。 サブネットが重複すると、ルーティングの問題やネットワークの停止が発生する可能性があります。
- (省略可能ですが推奨) 秒を追加できますIPユーザーが同じものを提供している Wi-Fi に接続する場合に役立つ、バックアップ用のプール範囲IPプライマリとしてのプール範囲IPプール。
g.スプリットトンネル > アクセスルート. これにより、どのサブネットに到達できるかが定義されます。GPゲートウェイに接続されたクライアント。
- 「含める」を空白のままにすると、次のようになります。 0.0.0.0/0つまり、からのすべてのトラフィックGPクライアントは強制的に通過するGPトンネル。
- スプリット トンネリングの場合: 10.0.0.0/8、192.168.x.0/24 などの必要な内部サブネットを指定して、GPクライアントはトンネルを使用して、これらのサブネットのみに到達します。 これらのサブネット外のものはすべて、クライアントのローカル ネットワークから直接アクセスされます。これは、スプリット トンネリングと呼ばれます。
h.クリックOKクライアント設定を保存して閉じます。 もう1つOK保存して閉じるGPゲートウェイの設定。
7. ローカルのユーザー名/パスワードを作成しますデバイス > ローカル ユーザー データベース > ユーザーテスト用。
8. セキュリティを作成し、NAT新しく作成されたポリシーVPN適切にアクセスを許可するゾーン。
9. 変更をコミットします。
エンド クライアントにクライアント/マシン証明書をインストールする
これはログオン前であるため、「マシン」証明書を使用する必要があります。
マシン証明書をインポートするときは、PKCSそれを含むフォーマット秘密鍵.
ウィンドウズ -
1. [スタート] > [ファイル名を指定して実行] をクリックし、mmc と入力して Microsoft 証明書管理コンソールを開きます。
2. [ファイル] > [スナップインの追加と削除] に移動します
IMPORTANT!
3. [証明書] > [追加] をクリックし、次のいずれかまたは両方を選択します。
を。たすマシン(デバイス)証明書、選択 'コンピュータ アカウント'。 これは 'ログオン前'そのままマシンを認証します.
4. マシン証明書を mmc にインポートします。
マシン証明書をインポートするには、「コンピューター アカウント」の下の「個人」フォルダーにインポートします。
5. 同様にルートをインポートします。CA 「信頼されたルート証明機関」および「中間証明機関」の中間 CA (存在する場合)
IMPORTANT!
6. インポートしたら、インポートしたマシン証明書をダブルクリックして、
を。それは持っています秘密鍵
b.その証明書チェーンがいっぱい根元までCA. チェーンにルートがない場合CAまたは中間CA、手順 5 で説明されているように、それらをそれぞれのフォルダーにインポートします。
7. この時点で、証明書がクライアントにインポートされます。保存せずに mmc コンソールを閉じることができます。
クライアント マシンでテストするには
1. ブラウザからhttps://gp.portal-gw01.local/つまり、https://<portal-ip/fqdn>
2.資格情報を入力します
3. ダウンロードGPクライアント
4. でGPポータル アドレスと資格情報を入力し、[接続] をクリックします。
5.ゲートウェイ上firewall、実際のユーザーが接続したことがわかります。
6. そのコンピューターからログオフして、ログオン前の状況をシミュレートします。
7.ゲートウェイ上firewall、ログオン前のユーザーが接続されていることがわかります。
8. 実際のユーザー名でコンピューターにログインします。
9. ゲートウェイ上firewall、ログオン前の名前が実際のユーザーに変更されることがわかります。