Procédure de configuration GlobalProtect SSO avec l’accès de pré-ouverture de session à l’aide de certificats auto-signés

 

L'exemple de configuration ci-dessous est pour un portail et une passerelle résidant sur le même appareil de Palo Alto Networks, mais peut être élargi pour refléter plusieurs passerelles. L’authentification de base de données locale est utilisée pour cet exemple, mais d’autres méthodes d’authentification LDAP (Kerberos, Radius, etc.) peuvent être appliquées.

1. Générer le certificat root Certificate Authority CA () sur l’appareil Palo Alto Networks. Ceci sera utilisé pour signer les certificats de serveur pour GlobalProtect Portal et Gateway, ainsi que le certificat de machine qui sera déployé sur les machines clientes.
   
2. Générer les certificats serveur et machine. Chaque certificat doit être signé par le certificat CA créé à l’étape 1.
   
   

           
Les certificats 3.Device associés GlobalProtect doivent apparaître comme suit :

4.Créer un profil de certificat.              Ceci sera utilisé pour confirmer la validité du certificat de la machine lors de la recoupement avec le CA certificat. Assurez-vous de sélectionner le CA certificat lors de CA l’ajout de « certificats ».
             
5. Créez votre portail GP comme suit : configuration du portail

a.Under, configurez le réseau et les paramètres d’authentification. Sélectionnez le certificat de serveur généré à l'Étape 3 ci-dessus. Pour le profil de certificat, sélectionnez le profil créé à l’étape 4.

                    b.Sous configuration client, créez un fichier config.                     Ceci sera poussé vers les GlobalProtect clients lors de la connexion initiale et redécouvrira les tentatives de réseau.
Configurez le config client pré-logon avec la méthode d’accès pré-logon. Configurer une autre config avec'any'utilisateur afin que tous les utilisateurs, y compris la pré-ouverture de session obtiendrez la même config. Dans la section Racine de CA confiance, ajoutez la racine CA créée à l’étape 1. Ce certificat sera poussé vers les agents de liaison.
                    
6. la A configuration de GlobalProtect passerelle d’échantillon est montrée ci-dessous. Assurez-vous d’utiliser le même certificat serveur et le même profil de certificat utilisés dans GlobalProtect la configuration Portal.
                    

7.Next étape est d’exporter le certificat de machine qui sera alors ajouté au magasin de certificat de confiance sur l’ordinateur local. Utilisez le format de fichier PKCS12 et fournissez une phrase de passe.
                     
8.On la machine de client, importez le certificat précédemment exporté de machine. L’image ci-dessous montre l’utilisation MMC du certificat snap in pour l’ordinateur local.
                     
                     
9.This exécutera l’assistant d’importation de certificat. Suivez les étapes pour terminer l'importation. Le certificat de cet exemple a été exporté au format de fichier PKCS12. Assurez-vous de confirmer le bon CERT est détecté.
                      
10.Installez le certificat dans le magasin local de certificat personnel d’ordinateur et confirmez alors l’installation.
                           
                           
11.Here, syslog indique la connexion initiale avec l’agent utilisant les informations d’identification de l’utilisateur pour se connecter avec succès. Par la suite, déconnectez la machine et vérifiez que la machine est toujours en mesure de faire une connexion réussie à GlobalProtect la fois à Portal et Gateway en tant qu’utilisateur « pré-logon » avec le certificat de machine validé par le CA certificat.
                           

 

propriétaire : rkalugdan