設定方法GlobalProtectSSO自己署名証明書を使用したログオン前アクセス

 

以下の構成例は、同じ Palo Alto Networks デバイス上に存在する 1 つのポータルと 1 つのゲートウェイ用ですが、複数のゲートウェイを反映するように拡張できます。 この例ではローカル データベース認証が使用されていますが、他の認証方法 (LDAP 、Kerberos、Radius など) を適用できます。

1. ルート認証局を生成します (CA ) Palo Alto Networks デバイスの証明書。 これは、両方のサーバー証明書に署名するために使用されますGlobalProtectポータルとゲートウェイ、およびクライアント マシンに展開されるマシン証明書。
   
2. サーバーとマシンの証明書を生成します。 各証明書は、CAステップ 1 で作成した証明書。
   
   

3.関連するデバイス証明書GlobalProtect次のように表示されます。

4.証明書プロファイルを作成します。 これは、マシン証明書の有効性を確認するために使用されます。CA証明書。 必ず選択してくださいCA' を追加するときの証明書CA証明書」。

5. あなたのGPポータルは次のとおりです。

a.ポータル構成で、ネットワークと認証の設定を構成します。 上記のステップ 3 で生成されたサーバー証明書を選択します。 Certificate Profile には、手順 4 で作成したプロファイルを選択します。

b. [クライアント構成] で、構成ファイルを作成します。 これはにプッシュされますGlobalProtect初期接続中のクライアントとネットワーク試行の再検出。
ログオン前のアクセス方法を使用して、ログオン前のクライアント構成を構成します。 ログオン前を含むすべてのユーザーが同じ構成を取得するように、「任意の」ユーザーで別の構成を構成します。 信頼されたルートでCAセクション、ルートを追加CAステップ 1 で作成されます。 この証明書は、接続エージェントにプッシュされます。

6.AサンプルGlobalProtectゲートウェイ構成を以下に示します。 で使用されているのと同じサーバー証明書と証明書プロファイルを必ず使用してください。GlobalProtectポータル構成。


7.次のステップは、マシン証明書をエクスポートすることです。この証明書は、ローカル コンピューターの信頼できる証明書ストアに追加されます。 PKCS12 ファイル形式を使用し、パスフレーズを指定します。

8. クライアント マシンで、以前にエクスポートしたマシン証明書をインポートします。 以下の画像は、MMCローカル コンピューターの証明書スナップイン。


9.これにより、証明書のインポート ウィザードが実行されます。 手順に従ってインポートを完了します。 この例の証明書は、pkcs12 ファイル形式でエクスポートされました。 正しい証明書が検出されていることを確認してください。

10.証明書をローカル コンピューターの個人証明書ストアにインストールし、インストールを確認します。


11.ここで、syslog は、正常に接続するためにユーザー資格情報を使用してエージェントとの最初の接続を示します。 その後、マシンからログオフし、マシンがまだ両方に正常に接続できることを確認します。GlobalProtectによって検証されたマシン証明書を持つ「ログオン前」ユーザーとしてのポータルとゲートウェイCA証明書。
                           

 

所有者: ルカルグダン