Configuración básica GlobalProtect con inicio de sesión de usuario

 ¿Qué pasa GlobalProtect con el inicio de sesión de usuario (siempre activado)?

 

Como dice el nombre, el inicio de sesión del usuario, GlobalProtect se conecta después de que un usuario inicie sesión en un equipo. Cuando esto se usa con SSO (solo Windows) o guardar credenciales de usuario ( MAC ), el usuario se conecta automáticamente después de que el usuario inicia sesión en el GlobalProtect equipo. La idea detrás del inicio de sesión del usuario es que el usuario 'siempre' permanezca conectado a GlobalProtect . Una vez conectado GlobalProtect a, el usuario verá la opción 'desactivar' (si lo permite el administrador) para deshabilitar la GlobalProtect aplicación cuando sea necesario.

 

Este documento explica la configuración básica GlobalProtect para el inicio de sesión del usuario con las siguientes consideraciones:

 

• Autenticación - base de datos local
• Misma interfaz que sirve como portal y puerta de entrada.
• Los certificados raíz, intermedios y de servidor se generan en PAN

 

1. Genere una CA raíz, intermedia CA y un certificado del servidor tal y como se explica en de este documento:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

 

 

2. Cree un SSL / perfil bajo > > de administración de certificados TLS SSL /TLS perfil de servicio, haciendo referencia al "certificado de servidor" creado anteriormente.

 

3. Cree un perfil de autenticación en Perfil de autenticación de > dispositivo > Agregar.

 

Nombre - dar un nombre a este perfil de autenticación

Tipo: elegir Local Database(You may choose ldap,radius etc depending on your requirement)

Ficha avanzada > permitir lista > Add-seleccionar todo (si tiene grupos, puede restringirlo a los grupos requeridos)

Haga clic OK para guardar.

 

 

 

 

 

4. Cree una interfaz de túnel bajo interfaz de > de red > túnel. Dar un número de túnel, router virtual y zona de seguridad. Se recomienda crear una zona independiente para VPN el tráfico, ya que proporciona una mayor flexibilidad y más seguridad para crear reglas de seguridad independientes para el VPN tráfico.

 

 

 

Configurar GlobalProtect portal

 

5. Vaya a Red > GlobalProtect > Portales > Agregar.

Ficha General. Dar un nombre al portal y seleccionar la interfaz que sirve como portal de la gota abajo.

  

 

6. Ficha de autenticación

Un. En SSL / perfil de TLS servicio, seleccione el / perfil creado SSL en el paso TLS 2 desde el menú desplegable.

b. Autenticación de cliente>Add. Déle cualquier nombre, deje el OS a 'cualquiera' a menos que desee restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Haga clic en Aceptar para guardar.

 

 

 7. Ficha Agente. Agregar una nueva configuración de cliente

 

Un. Ficha autenticación:

• Dar cualquier nombre a esta configuración de cliente
• Certificado de cliente-déjelo como ninguno, esto sólo será necesario si queremos impulsar cualquier certificado de cliente a los clientes para el propósito de autenticación.
• Guardar las credenciales de usuario - Yes (por defecto)
• (Opcional) Anulación de autenticación: Marque las casillas 'Generar cookie para la anulación de autenticación' y 'Aceptar cookie para la anulación de autenticación'. Esta cookie se puede cifrar/descifrar utilizando cualquier certificado que se seleccione en el menú desplegable de 'Certificado para cifrar/descifrar cookie'. Nota: Si se selecciona un certificado aquí en el portal, es necesario seleccionar el mismo certificado en Configuración de puerta de enlace para la cookie encrypt/decrypt.

 

 

B. Ficha Configurar criterios de selección. Deje el OS grupo y usuario a 'cualquiera' (Puede restringirlo a los grupos requeridos, si es necesario)

 

IMPORTANT!

Ficha externa.

c. En "Puertas de enlace externas", haga clic en Agregar.

Dirección- Introduzca la dirección o a IP la que se hizo referencia en el certificado Nombre FQDN común( ) o Nombre alternativo del CN sujeto ( ) del paso SAN 1. En este ejemplo entramos ' gp.portal-gw01.local'

 

 

  

d. Pestaña Aplicación. En 'Connect-method' desplegable, seleccione 'Inicio de sesión de usuario (Siempre activado)'.

Nota: Para cambiar esta GP configuración de 'Inicio de sesión de usuario' a 'Bajo demanda', simplemente cambie el 'método de conexión' de 'inicio de sesión de usuario' a 'bajo demanda'.

  

e. Haga clic OK para guardar.

F. En 'Raíz de CA confianza', seleccione la raíz y el CA intermedio CA . También, seleccione 'Instalar en almacén de certificados raíz Local' para instalar los certificados en el almacén de certificados de raíz local del cliente después de que el cliente se conecta correctamente al portal por primera vez.

G. Haga clic OK para guardar y cerrar la configuración del GP portal.

 

 

Configurar GlobalProtect puerta de enlace

 

8. Vaya a Network > GlobalProtect > Gateways > Add.

Ficha General. Dar un nombre a la puerta de entrada y seleccione la interfaz que sirve como puerta de enlace de la gota abajo.

 

 9. Ficha Autenticación. Esto es similar al paso 6, pero esto es para gateway.

Un. En SSL / perfil de TLS servicio, seleccione el / perfil creado SSL en el paso TLS 2 desde el menú desplegable.

b. Autenticación de cliente>Add. Déle cualquier nombre, deje el OS a 'cualquiera' a menos que desee restringirlo. Bajo perfil de autenticación, seleccione el perfil de auth que creó en el paso 3.

c. Haga clic en Aceptar para guardar.

 

 

10. Ficha Agente.

a. Configuración del túnel. Marque el "modo del túnel" para habilitar el modo de túnel y seleccione la interfaz del túnel creada en el paso 4 del descenso-abajo.

b. Habilite IPSec. Marque esta casilla para habilitar el IPSec, esto es altamente recomendado. Con esta configuración habilitada, GP siempre intentará conectarse primero a través de IPSec, si falla, entonces vuelve a GP SSL .

 

c. Configuración del tiempo de espera: déjelos por defecto. Para cualquier cambio en esto, consulte la GlobalProtect guía de administración.

d. Configuración del cliente

Haga clic en Agregar > dar un nombre a la ficha Sobrescrituras de autenticación

-(Opcional) Anulación de autenticación: Marque las casillas para ' Generar cookie para la anulación de autenticación' y "Aceptar cookie para la anulación de autenticación". Esta cookie se puede cifrar/descifrar utilizando cualquier certificado seleccionado en el menú desplegable de 'Certificado para cifrar/descifrar cookie'. Nota:Si se seleccionó un certificado en el paso 7 en el portal, el mismo certificado debe seleccionarse aquí en "certificado de puerta de enlace para cifrar/descifrar cookie".

 

e. Ficha Criterios de selección de configuración. Deje el OS grupo y usuario a 'cualquiera' (puede restringirlo a los grupos requeridos si lo desea).

 

IMPORTANT!

Si se elige un grupo en el menú desplegable, asegúrese de que el GlobalProtect usuario forma parte de este grupo, si no, el cliente recibirá una dirección de la puerta de NOT IP enlace. Los problemas comunes aquí son cuando el usuario es identificado GlobalProtect como 'dominio\usuario', pero el firewall 's userid puede tenerlo como 'dominio completo\usuario', en esos casos asegúrese de que el grupo/usuario se muestra como idéntico en ambos lugares mediante la sobrescritura del campo de dominio en la asignación de usuario-identificación> grupo.

 

f. IP -piscinas:

IMPORTANT!

• GlobalProtect gateway asignará direcciones IP de este grupo a los clientes. Especifique uno o varios IP intervalos de grupo que con cualquiera de las redes existentes en la DO NOT OVERLAP organización. Superposición de subredes puede causar problemas de enrutamiento y las interrupciones de red.
• (Opcional pero recomendado) Puede agregar un segundo IP rango de grupo para la copia de seguridad que será útil en los casos en que el usuario conecta un wifi que proporciona el mismo rango de grupo que IP su grupo IP principal.

 

g. Dividir túnel > Aruta ccess. Esto define a qué subredes pueden llegar GlobalProtect los clientes una vez que están conectadas a la puerta de enlace.

-Si 'Include' se deja en blanco, lo toma como 0.0.0.0/0, es decir, todo el tráfico del GlobalProtect cliente se verá obligado a pasar por el GlobalProtect túnel.

Para la tunelización dividida:Especifique las subredes internas requeridas como 10.0.0.0/8, 192.168.x.0/24, etc. para que el GlobalProtect cliente utilice el túnel para alcanzar solamente estas subredes. Cualquier cosa fuera de estas subredes se accederá directamente desde la red local del cliente, esto se llama split tunneling.

 

H. Haga clic OK para guardar y cerrar la configuración del cliente. Uno más OK para guardar y cerrar la configuración de la puerta de GlobalProtect enlace.

 

11. Cree un nombre de usuario/contraseña local en Dispositivo > base de datos de usuario local>usuarios para pruebas.

12. Cree políticas y seguridad NAT para que la zona recién creada dé acceso VPN adecuadamente.

13. Confirme los cambios.

 

A la prueba en la máquina cliente

 

1. Desde el navegador, vaya a https://gp.portal-gw01.local/ es decir, https://<portal-ip/fqdn>

2. Introduzca las credenciales

3. Descargue el GlobalProtect cliente

4. En el GlobalProtect cliente, ingrese la dirección y las credenciales del portal, haga clic en conectar.