Grundkonfiguration GlobalProtect mit Benutzeranmeldung

 Was ist GlobalProtect mit User-Login (Always On)?

 

Wie der Name schon sagt, Benutzeranmeldung, wird der GlobalProtect verbunden, nachdem sich ein Benutzer an einem Computer angemeldet hat. Wenn dies mit (nur Windows) verwendet wird SSO oder Benutzeranmeldeinformationen ( MAC ) speichern, wird der automatisch GlobalProtect verbunden, nachdem sich der Benutzer am Computer angemeldet hat. Die Idee hinter der Benutzeranmeldung ist es, dass der Benutzer "immer" mit verbunden GlobalProtect bleibt. Sobald die Verbindung mit hergestellt GlobalProtect ist, wird dem Benutzer die Option "Deaktivieren" angezeigt (falls vom Administrator erlaubt), um die Anwendung bei Bedarf zu GlobalProtect deaktivieren.

 

In diesem Dokument wird die grundlegende GlobalProtect Konfiguration für die Benutzeranmeldung mit den folgenden Überlegungen erläutert:

 

• Authentifizierung - lokale Datenbank
• Gleiche Schnittstelle dient als Portal und Gateway.
• Stamm-, Zwischen- und Serverzertifikate werden auf PAN

 

1. Generieren Sie ein CA Stamm-, Zwischen- CA und Serverzertifikat, wie in diesem Dokument erläutert:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

 

 

2. Erstellen Sie ein SSL TLS /Profil unter Device > Certificate Management > SSL /TLS Serviceprofile, unter Bezugnahme auf das oben erstellte 'Serverzertifikat'.

 

3. Erstellen Sie ein Authentifizierungsprofil unter Device > Authentication Profile > Add.

 

Name - geben Sie einen Namen für diese Authentifizierungsprofil

Typ - wählen Sie lokale Database(You may choose ldap,radius etc depending on your requirement)

Erweiterte RegisterKarte > Liste > HinzuFügen-alle auswählen (wenn Sie Gruppen haben, können Sie Sie auf die benötigten Gruppen beschränken)

Klicken Sie OK hier, um zu speichern.

 

 

 

 

 

4. Erstellen Sie eine Tunnelschnittstelle unter Netzwerk->-Schnittstellen > Tunnel. Geben Sie einen Tunnel Nummer, virtuelle Router und Sicherheitszone. Es wird empfohlen, eine separate Zone für den Datenverkehr zu erstellen, VPN da dadurch eine größere Flexibilität und mehr Sicherheit zum Erstellen separater Sicherheitsregeln für den Datenverkehr gewährt VPN wird.

 

 

 

Konfigurieren von GlobalProtect Portal

 

5. Gehen Sie zu Network > GlobalProtect > Portals > Add.

Allgemeine Registerkarte. Geben Sie einen Namen für das Portal und wählen Sie die Schnittstelle, die als Portal aus dem Drop-down dient.

  

 

6. Registerkarte Authentifizierung

Eine. Wählen Sie unter SSL / TLS Serviceprofil das SSL in Schritt 2 erstellte Profil aus TLS der Dropdown-Liste aus.

b. Client-Authentifizierung>Hinzufügen. Geben Sie ihm einen Namen, lassen Sie die OS zu "any", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Klicken Sie auf OK, um zu speichern.

 

 

 7. Agent-Registerkarte. Hinzufügen einer neuen Clientkonfiguration

 

Eine. Registerkarte Authentifizierung:

• Geben Sie einen beliebigen Namen zu diesem Client-config
• Kundenzertifikat-lassen Sie es wie keine, dies wird nur benötigt, wenn wir ein kundenzertifikat an Kunden zu Authentifizierungs Zwecken drücken wollen.
• Speichern der Anmeldeinformationen des Benutzers - ja (Standard)
• (Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für 'Cookie für Authentifizierungsüberschreibung generieren' und 'Cookie für Authentifizierungsüberschreibung akzeptieren'. Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wird. Hinweis: Wenn hier unter Portal ein Zertifikat ausgewählt ist, muss dasselbe Zertifikat unter Gateway-Konfiguration zum Verschlüsseln/Entschlüsselnvon Cookies ausgewählt werden.

 

 

B. Registerkarte "Auswahlkriterien" mit dem Konfigurationsangebot. Überlassen Sie die OS Und-Benutzer-Gruppe "any" (Sie können sie bei Bedarf auf erforderliche Gruppen beschränken)

 

IMPORTANT!

Externe Registerkarte.

c. Klicken Sie unter 'Externe Gateways' auf Hinzufügen. Geben Sie ihm einen beliebigen Namen.

Adresse- Geben Sie die IPAdresse ein oder auf die im Zertifikat Common FQDN Name( ) oder Subject Alternate CN Name( ) von Schritt SAN 1 verwiesen wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"

 

 

  

d. App-Registerkarte. Wählen Sie unter 'Connect-method' Dropdown ' 'User-Login (Always On)'.

Hinweis: Um diese GP Einrichtung von 'User-Login' in 'On-demand' zu ändern, ändern Sie einfach die 'Connect-Methode' von 'user-logon' in 'on-demand'.

  

E. Klicken Sie OK hier, um zu speichern.

F. Wählen Sie unter 'Trusted CA Root' die Wurzel und die CA Zwischendatei CA aus. Wählen Sie "Install im Zertifikatspeicher lokalen Root" auch diese Zertifikate im Zertifikatspeicher des Auftraggebers lokalen Root installieren, nachdem der Client erfolgreich auf das Portal zum ersten Mal verbindet.

G. Klicken Sie OK hier, um die Portalkonfiguration zu speichern und GP zu schließen.

 

 

Konfigurieren von GlobalProtect Gateway

 

8. Gehen Sie zu Netzwerk > GlobalProtect > Gateways > Hinzufügen.

Allgemeine Registerkarte. Geben Sie einen Namen für das Gateway und wählen Sie die Schnittstelle, die als Gateway aus dem Drop-down dient.

 

 9. Authentifizierungsregisterkarte. Dies ist vergleichbar mit Schritt 6 fort, aber dies ist für Gateway.

Eine. Wählen Sie unter SSL / TLS Serviceprofil das SSL in Schritt 2 erstellte Profil aus TLS der Dropdown-Liste aus.

b. Client-Authentifizierung>Hinzufügen. Geben Sie ihm einen Namen, lassen Sie die OS zu "any", es sei denn, Sie möchten sie einschränken. Wählen Sie unter Authentifizierungsprofil das in Schritt 3 erstellte Auth-Profil.

c. Klicken Sie auf OK, um zu speichern.

 

 

10. Agent Registerkarte.

a. Tunneleinstellungen. Aktivieren Sie den Tunnelmodus, um den Tunnelmodus zu aktivieren, und wählen Sie die tunnelschnittstelle aus, die in Schritt 4 erstellt wurde, aus der Dropdown-Liste.

b. Aktivieren Sie IPSec. Aktivieren Sie dieses Kontrollkästchen, um IPSec zu aktivieren.  Wenn diese Einstellung aktiviert GP ist, wird immer versucht, zuerst eine Verbindung über IPSec herzustellen, wenn es GP fehlschlägt, dann auf SSL zurück.

 

c. Timeout-Einstellungen - lassen Sie sie auf Standardwerte. Änderungen hieran finden Sie im GlobalProtect Administratorhandbuch.

d. Client-Einstellungen

Klicken Sie auf Hinzufügen > geben Sie einen Namen zur Registerkarte Authentifizierung überschreiben

-(Optional) Authentifizierungsüberschreibung: Aktivieren Sie die Kontrollkästchen für ' Generieren Sie Cookies für die Authentifizierungsüberschreibung und "Cookie für Authentifizierungsüberschreibung akzeptieren". Dieses Cookie kann mit jedem Zertifikat verschlüsselt/entschlüsselt werden, das aus der Dropdown-Liste "Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies" ausgewählt wurde. Hinweis:Wenn ein Zertifikat in Schritt 7 unter Portal ausgewählt wurde, muss das gleiche Zertifikat hier unter Gateway 'Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies' ausgewählt werden.

 

e. Registerkarte "Konfigurationsauswahlkriterien". Überlassen Sie die OS Gruppe und die Benutzergruppe "any" (Sie können sie auf erforderliche Gruppen beschränken, falls gewünscht).

 

IMPORTANT!

Wenn eine Gruppe aus der Dropdownliste ausgewählt wird, stellen Sie sicher, dass der GlobalProtect Benutzer Teil dieser Gruppe ist, wenn nicht der Client eine Adresse vom Gateway NOT IP erhält. Häufige Probleme sind hier, wenn der Benutzer durch "Domänenbenutzer" identifiziert wird, GlobalProtect aber die firewall Benutzer-ID "als "vollqualifizierte Domäne" vorhanden sein kann, in diesen Fällen stellen Sie sicher, dass die Gruppe/der Benutzer an beiden Stellen als identisch angezeigt wird, indem sie das Domänenfeld in der Benutzeridentifizierung>Gruppenzuordnung überschreibt.

 

f. IP -Pools:

IMPORTANT!

• GlobalProtect Gateway wird IpPs aus diesem Pool Clients zuweisen. Geben Sie einen oder mehrere IP Poolbereiche an, die mit einem der vorhandenen Netzwerke in der Organisation vorhanden DO NOT OVERLAP sind. Überlappende Subnetze kann dazu führen, dass Routingprobleme und Netzwerkausfällen.
• (Optional, aber empfohlen) Sie können einen zweiten Poolbereich für Backups hinzufügen, der IP in Fällen nützlich ist, in denen der Benutzer ein WLAN verbindet, das den gleichen IP Poolbereich wie Ihr primärer IP Pool bereitstellt.

 

g. Split Tunnel > A ccess Route. Dadurch wird definiert, welche Subnetze von Clients erreicht werden können, sobald sie mit dem GlobalProtect Gateway verbunden sind.

-Wenn 'Include' leer gelassen wird, wird es als 0.0.0.0/0 benötigt, d.h. der gesamte Datenverkehr vom Client wird gezwungen, durch den GlobalProtect Tunnel zu GlobalProtect gehen.

Für Split-Tunneling: Geben Sie die erforderlichen internen Subnetze wie 10.0.0.0/8, 192.168.x.0/24 usw. an, damit der GlobalProtect Client den Tunnel verwendet, um nur diese Subnetze zu erreichen. Alles außerhalb dieser Subnetze werden direkt vom lokalen Netzwerk des Clients zugegriffen werden, dies nennt man Split-tunneling.

 

H. Klicken Sie OK hier, um Clienteinstellungen zu speichern und zu schließen. Eine OK weitere, um Gateway-Einstellungen zu speichern und zu GlobalProtect schließen.

 

11. Erstellen Sie einen lokalen Benutzernamen/ein lokales Kennwort unter Device > Lokale Benutzerdatenbank>Benutzer zum Testen.

12. Erstellen Sie Sicherheit und NAT Richtlinien für die neu erstellte VPN Zone, um den Zugriff entsprechend zu gewähren.

13. Verpflichten Sie die Änderungen.

 

Auf Client-Rechner testen

 

1. Gehen Sie über den Browser zu https://gp.portal-gw01.local/ dh https://<portal-ip/fqdn>

2. Geben Sie die Anmeldeinformationen ein

3. Laden Sie den GlobalProtect Client herunter

4. Geben Sie im GlobalProtect Client die Portaladresse und die Anmeldeinformationen ein, klicken Sie auf Verbinden.