GlobalProtectオンデマンドによる基本設定
Resolution
GlobalProtectオンデマンドとは何ですか?
名前に示すように、オンデマンド (ユーザーの意志で) ユーザーは、 に接続するタイミングまたは から切断するタイミングを制御できます GlobalProtect 。 に接続すると GlobalProtect 、必要に応じて切断する「切断」オプションが表示されます。
このドキュメントでは、 GlobalProtect オンデマンドの基本構成について、次の点を考慮して説明します。
- 認証 - ローカル データベース
- ポータル ゲートウェイと同じインターフェイスです。
- ルート、中間およびサーバーの証明書が生成されます。 PAN
1. CA このドキュメントで説明されているように、ルート、中間 CA 、およびサーバー証明書を生成します。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
2. 上記の「 SSL TLS サーバ証明書」を参照して、 デバイス>証明書管理 SSL >/TLS サービスプロファイルの下に/プロファイルを作成します。
3. [デバイス >認証プロファイル>追加] で認証プロファイルを作成します。
名前 - この認証プロファイルに名前を与える
入力 - ローカル Database(You may choose ldap,radius etc depending on your requirement) を選択してください。
[許可一覧>詳細設定] タブ > 追加 - すべて選択します (グループがある場合は、必要なグループに制限できます)
クリック OK して保存します。
4. ネットワーク > インターフェイス >トンネル] の下にトンネル インターフェイスを作成します。 トンネル数、仮想ルーターとセキュリティ ゾーンを与えます。 トラフィックに対して個別のセキュリティ規則を作成する VPN 柔軟性が高くなるため、トラフィック用に別のゾーンを作成することをお勧めします VPN 。
ポータルの構成 GlobalProtect
5. [追加] >[ポータル] > [ネットワーク >] に移動 GlobalProtect します。
[全般] タブ。 ポータルに名前を与えるし、ダウン ドロップからポータルとして機能するインターフェイスを選択します。
6. [認証] タブ
A。[ SSL サービス プロファイル] で TLS 、 SSL TLS ドロップダウンから手順 2 で作成した / プロファイルを選択します。
b. クライアント認証>追加. 制限する OS 場合を除き、任意の名前を付けて、'any' のままにします。 認証プロファイルの下には、ステップ 3 で作成した認証プロファイルを選択します。
c. [OK] をクリックして保存します。
7. エージェントタブ. 新しいクライアントの設定を追加します。
A。[認証] タブ:
- このクライアント設定ファイルに任意の名前を付ける
- クライアント証明書のどれもにそれを残して、我々 は任意のクライアント証明書をクライアント認証の目的のためにプッシュする場合これは必要だけ。
- Yes(default) - ユーザーの資格情報を保存します。
- (オプション)認証のオーバーライド: [ 認証のオーバーライド用に Cookie を生成する] と [認証の上書き用に Cookie を受け入れる] のチェックボックスをオンにします。 このクッキーは、「Cookieの暗号化/復号化証明書」のドロップダウンから選択された任意の証明書を使用して暗号化/復号化することができます 。
B。 [ユーザー/グループ] タブ。 および OS ユーザー グループは 'any' のままにします (必要な場合は必要なグループに制限できます)
大事な!
外部タブ。 [外部ゲートウェイ] で [追加] をクリックします。
Address- IP アドレスを入力するか、または手順 1 の FQDN 証明書の共通名 ( CN ) またはサブジェクト代替名 ( SAN ) で参照されているアドレスを入力します。 この例では、入力してください ' gp.portal-gw01.local'
d. [アプリ] タブ。 [接続方法] ドロップダウンで、[オンデマンド ( ユーザーが手動で接続を開始しました )]を選択します。
注: この設定を GP "オンデマンド" から "ユーザー ログオン" に変更するには、"接続方法" を "オンデマンド" から "ユーザー ログオン" に変更します。
E。クリック OK して保存します。
F。[信頼されたルート CA ] で、ルート CA と中間を選択 CA します。 「ローカル ルート証明書ストアにインストールする」を選択しても、クライアントは正常に初めてポータルに接続した後、クライアントのローカル ルート証明書ストアにこれらの証明書をインストールします。
G。ポータル OK 構成を保存して閉じるには、ここをクリック GP します。
ゲートウェイの構成 GlobalProtect
8. ネットワーク> GlobalProtect >ゲートウェイ>追加に移動します。
[全般] タブ。 ゲートウェイに名前を与えるし、ダウン ドロップからゲートウェイとして機能するインターフェイスを選択します。
9. [認証] タブ これは手順 6 と同様に、これはゲートウェイは。
A。[ SSL サービス プロファイル] で TLS 、 SSL TLS ドロップダウンから手順 2 で作成した / プロファイルを選択します。
b. クライアント認証>追加. 制限する OS 場合を除き、任意の名前を付けて、'any' のままにします。 認証プロファイルの下には、ステップ 3 で作成した認証プロファイルを選択します。
c. [OK] をクリックして保存します。
10. エージェントタブ.
a. トンネル設定。 トンネル モードを有効にするには[トンネル モード]をオンにし、ドロップダウンから手順 4 で作成したトンネル インターフェイスを選択します。
b. IPSec を有効にします。 IPSec を有効にするには、このチェック ボックスをオン にしてください。 この設定を有効にすると、 GP 必ず最初に IPSec 経由で接続しようとします。 GP SSL
c. タイムアウト設定 - デフォルトのままにします。 この変更については、管理者ガイドを参照 GP してください。
d. クライアント設定
追加をクリックして > 認証 [優先] タブに名前を付けます
-(オプション) 認証のオーバーライド: ' のチェックボックスをオンにします。認証のオーバーライドのためのクッキーを生成し、「認証の上書きのためのクッキーを受け入れる」。 このクッキーは、「Cookieの暗号化/復号化証明書」のドロップダウンから選択した任意の証明書を使用して暗号化/復号化することができます 。 注: ポータルで証明書を選択した場合は、ゲートウェイの「Cookie を暗号化/復号化するための証明書」の下で同じものを選択する必要があります。
e. [構成選択基準] タブ と OS ソースユーザーを 'any' に設定したままにします (必要な場合は必要なグループに制限できます)。
大事な!
ドロップダウンからグループを選択した場合は、 GlobalProtect クライアントが NOT IP ゲートウェイからアドレスを受信しない場合は、ユーザーがこのグループの一部であることを確認します。 ここでの一般的な問題は、ユーザーが GlobalProtect 'domain\user' で識別されるが firewall 、'userid' が '完全修飾ドメイン\ユーザー>' として指定されている場合です。
f. IP [プール] タブ
とても重要です!
- GlobalProtectゲートウェイは、このプールからクライアントに IP を割り当てます。 組織内の既存のネットワークのいずれかとの 1 つ以上 IP DO NOT OVERLAP のプール範囲を指定します。 ルーティングの問題とネットワークの停止、サブネットを重複することがあります。
- (オプションですが推奨)バックアップ用の 2 番目 IP のプール範囲を追加すると、ユーザーがプライマリ プールと同じプール範囲を提供している Wifi を接続する場合に便利です IP IP 。
g. [スプリット トンネル] タブ これは GP 、クライアントがゲートウェイに接続した後に到達できるサブネットを定義します。
- 「Include」を0.0.0.0/0 に設定すると、すべてのトラフィックがトンネルを通過するように強制されます GP 。
- スプリット トンネリングの場合: クライアントがトンネルを使用してこれらのサブネットのみに到達できるように、10.0.0.0/8、192.168.x.0/24 などの必要な内部 GP サブネットを指定します。 これらのサブネットの外側にあるものは、クライアントのローカルネットワークから直接アクセスされ 、thは スプリットトンネリングと呼ばれます。
H。クリック OK すると、クライアント設定を保存して閉じます。 もう 1 つ OK 、ゲートウェイ設定を保存して閉じます GP 。
11. テスト用のデバイス>ローカルユーザーデータベース>ユーザーの下にローカルユーザ名/パスワードを作成します。
12. NAT 新しく作成されたゾーンのセキュリティとポリシー VPN を作成し、適切なアクセス権を付与します。
13. 変更を確定します。
クライアント マシン上でテストするには
1. ブラウザから、https://gp.portal-gw01.local/、https://<portal-ip/fqdn>
2. 資格情報を入力します。
3. クライアントをダウンロードする GlobalProtect
4. GlobalProtect クライアントでポータルアドレスと認証情報を入力し、[接続]をクリックします。