Cómo configurar GlobalProtect SSO con acceso previo al inicio de sesión mediante certificados autofirmados

 

La siguiente configuración de ejemplo es para un portal y una puerta de enlace que residen en el mismo dispositivo Palo Alto Networks, pero se pueden expandir para reflejar múltiples gateways. La autenticación local de base de datos se utiliza para este ejemplo, pero se pueden aplicar otros métodos de autenticación LDAP (, Kerberos, Radius, etc.).

1. Genere el certificado raíz de la entidad de certificación ( CA ) en el dispositivo palo alto networks. Esto se usará para firmar los certificados de servidor para GlobalProtect Portal y Gateway, así como el certificado de equipo que se implementará en los equipos cliente.
   
2. Genere los certificados de servidor y máquina. Cada certificado debe estar firmado por el certificado creado en el CA paso 1.
   
   

           
3.Los certificados de dispositivo asociados GlobalProtect deben aparecer de la siguiente manera:

4.Crear un perfil de certificado.              Esto se utilizará para confirmar la validez del certificado de máquina al comprobar con el CA certificado. Asegúrese de seleccionar el CA certificado al agregar CA 'Certificados'.
             
5. Cree el GP portal de la siguiente manera:

a.Under Configuración del portal, configure la configuración de red y autenticación. Seleccione el certificado de servidor generado en el paso 3 anterior. En Perfil de certificado, seleccione el perfil creado en el paso 4.

                    b.Under Client Configuration, cree un archivo de configuración.                     Esto se insertará en los GlobalProtect clientes durante la conexión inicial y redescubrirá los intentos de red.
Configure la configuración del cliente previa al inicio de sesión con el método de acceso previo al inicio de sesión. Configure otra configuración con el usuario ' any ' para que todos los usuarios, incluido el pre-inicio de sesión, obtengan la misma configuración. En la sección Raíz de CA confianza, agregue la raíz creada en el CA paso 1. Este certificado será expulsado a los agentes de conexión.
                    
6. A La configuración del gateway de muestra se muestra GlobalProtect abajo. Asegúrese de utilizar el mismo certificado de servidor y perfil de certificado utilizados en la GlobalProtect configuración del portal.
                    

7.El siguiente paso es exportar el certificado de máquina que luego se agregará al almacén de certificados de confianza en el equipo local. Utilice el formato de archivo PKCS12 y proporcione una contraseña.
                     
8.En el equipo cliente, importe el certificado de máquina exportado previamente. La siguiente imagen muestra el uso del complemento de MMC certificado para el equipo local.
                     
                     
9.Esto ejecutará el Asistente para importación de certificados. Siga los pasos para completar la importación. El certificado de este ejemplo se exportó en formato de archivo PKCS12. Asegúrese de confirmar que se detecte el CERT correcto.
                      
10.Instale el certificado en el almacén de certificados personal del equipo local y, a continuación, confirme la instalación.
                           
                           
11.Aquí, syslog indica la conexión inicial con el agente usando las credenciales de usuario para conectarse correctamente. Posteriormente, cierre la sesión del equipo y compruebe que el equipo todavía puede realizar una conexión correcta con GlobalProtect Portal y Gateway como usuario de inicio de sesión previo con el certificado de máquina validado por el CA certificado.
                           

 

Propietario: rkalugdan