Konfigurieren GlobalProtect SSO mit Voranmeldezugriff mithilfe selbstsignierter Zertifikate

 

Die folgende Beispielkonfiguration ist für ein Portal und ein Gateway, das sich auf dem gleichen Palo Alto Networks-Gerät befindet, aber erweitert werden kann, um mehrere Gateways zu reflektieren. Für dieses Beispiel wird die lokale Datenbankauthentifizierung verwendet, aber es können andere Authentifizierungsmethoden ( LDAP , Kerberos, Radius usw.) angewendet werden.

1. Generieren Sie das Stammzertifikat der Zertifizierungsstelle ( CA ) auf dem Palo Alto Networks-Gerät. Dies wird verwendet, um die Serverzertifikate für Portal und Gateway sowie das Computerzertifikat zu GlobalProtect signieren, das auf den Clientcomputern bereitgestellt wird.
   
2. Die Server-und Maschinen Zertifikate generieren. Jedes Zertifikat sollte durch das in Schritt 1 erstellte Zertifikat signiert CA werden.
   
   

           
3.Gerätezertifikate, die zugeordnet GlobalProtect sind, sollten wie folgt angezeigt werden:

4.Erstellen eines Zertifikatprofils.              Dies wird verwendet, um die Gültigkeit des Maschinenzertifikats bei der Gegenprüfung mit dem Zertifikat zu CA bestätigen. Achten Sie beim Hinzufügen von Zertifikaten darauf, das CA Zertifikat CA auszuwählen.
             
5. Erstellen Sie Ihr GP Portal wie folgt:

a.Under Portal-Konfiguration, konfigurieren Sie die Netzwerk- und Authentifizierungseinstellungen. Wählen Sie das in Schritt 3 generierte Server-Zertifikat aus. Wählen Sie für Zertifikatprofil das in Schritt 4 erstellte Profil aus.

                    b.Erstellen Sie unter Clientkonfiguration eine Konfigurationsdatei.                     Dies wird während der ersten Verbindung an Clients übertragen GlobalProtect und Netzwerkversuche erneut erkannt.
Konfigurieren Sie die Pre-Logon-Clientkonfiguration mit der Pre-Logon-Zugriffsmethode. Konfigurieren Sie eine andere Konfiguration mit ' jedem ' Benutzer, so dass alle Benutzer, einschließlich Pre-Logon, die gleiche Konfiguration erhalten. Fügen Sie im Abschnitt Vertrauenswürdiger Stamm CA den in Schritt 1 erstellten Stamm CA hinzu. Dieses Zertifikat wird an die Verbindungsmittel verdrängt.
                    
6. A Beispiel GlobalProtect Gateway-Konfiguration ist unten gezeigt. Stellen Sie sicher, dass Sie dasselbe Serverzertifikat und dasselbe Zertifikatprofil verwenden, das in der Portalkonfiguration verwendet GlobalProtect wird.
                    

7.Nächster Schritt ist das Exportieren des Computerzertifikats, das dann dem vertrauenswürdigen Zertifikatspeicher auf dem lokalen Computer hinzugefügt wird. Verwenden Sie das PKCS12-Dateiformat und geben Sie eine Passphrase an.
                     
8.Importieren Sie auf dem Clientcomputer das zuvor exportierte Computerzertifikat. Die folgende Abbildung veranschaulicht die Verwendung des MMC Zertifikatsfangs für den lokalen Computer.
                     
                     
9.Dadurch wird der Zertifikatimport-Assistent ausgeführt. Folgen Sie den Schritten, um den Import abzuschließen. Das Zertifikat für dieses Beispiel wurde in PKCS12 Dateiformat exportiert. Vergewissern Sie sich, dass das korrekte CERT erkannt wird.
                      
10.Installieren Sie das Zertifikat im speicher für lokale Computer, und bestätigen Sie dann die Installation.
                           
                           
11.Hier zeigt syslog die anfängliche Verbindung mit dem Agenten an, der die Benutzeranmeldeinformationen verwendet, um eine verbindung herzustellen. Melden Sie sich anschließend vom Computer ab, und stellen Sie sicher, dass der Computer weiterhin in der Lage ist, eine erfolgreiche Verbindung mit GlobalProtect Portal und Gateway als "Pre-Logon"-Benutzer herzustellen, wobei das vom Zertifikat überprüfte Computerzertifikat überprüft CA wird.
                           

 

Besitzer: Rkalugdan