Comment faire pour configurer GlobalProtect pour L'Authentification en utilisant uniquement les certificats

Comment faire pour configurer GlobalProtect pour L'Authentification en utilisant uniquement les certificats

65124
Created On 09/25/18 17:19 PM - Last Modified 04/28/20 19:42 PM


Resolution


Vue d’ensemble

Ce document décrit les étapes à suivre pour configurer GlobalProtect pour l'authentification à l'Aide de certificats uniquement, sans que l'utilisateur ne soit invité à se connecter.

 

Étapes

  1. Créez le profil de certificat sous Device > Certificate Management > Profil de certificat.
    Assurez-vous que le champ username est défini sur'Subject'et que la zone grise à droite de celle-ci affiche'common-name'. Ajoutez l'AUTORITÉ de certification racine sous certificats d'AUTORITÉ de certification.
    Certificate Profile. pngProfil de certificat
  2. L'image ci-dessous montre les certificats créés:
    Certificates. pngcertificats
  3. Configurez la passerelle GlobalProtect.
    Définissez le profil d'Authentification sur None et sélectionnez le profil de certificat défini sur celui créé à L'étape 1 ci-dessus.
    Gateway. pngPasserelle GlobalProtect
  4. Configurer le portail GlobalProtect
    définir le profil d'Authentification défini sur None. Sélectionnez le certificat client et le profil de certificat.
    Remarque: le fait que le pare-feu génère un certificat client suppose que l'infrastructure de certificat est configurée sur le réseau pour prendre en charge ce certificat client.   Alternativement, un CERT client peut ne pas être nécessaire et peut également ne pas être conseillé dans un environnement multi-utilisateur.  Il peut être préférable d'utiliser un profil de certificat avec l'Autorité de certification qui sera utilisé pour signer chaque certificat d'utilisateur, afin que chaque utilisateur puisse et recevra un certificat unique du
    Portal. pngportail ca. GlobalProtect
  5. Dans l'onglet configuration du client, désactivez SSO.
    Screen Shot 2013-06-24 à 8.23.43 PM. png
  6. Installez les certificats root et client dans le magasin local de l'ordinateur client.
    Remarque: lors de l'exportation du certificat client machine à partir du périphérique Palo Alto Networks, il doit être au format PKCS12.
    LocalStore. png
  7. Installez le certificat client dans le magasin personnel de l'utilisateur.
    userstore. png
  8. Dans le client GlobalProtect, il n'est pas nécessaire d'entrer le nom d'Utilisateur et le mot de passe:
    gp_nouser. png
  9. Valider la configuration sur le pare-feu. Le client GlobalProtect se connectera automatiquement à la passerelle.
    Les utilisateurs distants de la passerelle apparaîtront en tant que certificat client qui se connectera.
    clientcert_auth. png

propriétaire: pvermuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFACA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language