Configuration GlobalProtect de base avec logon utilisateur

 GlobalProtectQu’est-ce qu’il y a avec user-logon (Always On)?

 

Comme son nom l’indique, l’utilisateur-logon, GlobalProtect le est connecté après qu’un utilisateur se connecte à une machine. Lorsque cela est utilisé avec SSO (Windows uniquement) ou enregistrer les informations d’identification de l’utilisateur ( MAC ) , le se GlobalProtect connecte automatiquement après que l’utilisateur se connecte à la machine. L’idée derrière l’utilisateur-logon est d’avoir l’utilisateur « toujours » rester connecté à GlobalProtect . Une fois connecté GlobalProtect à , l’utilisateur verra l’option « désactiver » (si autorisé par admin) pour désactiver GlobalProtect l’application en cas de besoin.

 

Ce document explique la GlobalProtect configuration de base pour l’utilisateur-logon avec les considérations suivantes:

 

• Authentification - base de données locale
• Même interface servant de portail et de porte d’entrée.
• Les certs root, intermédiaires et serveurs sont générés sur PAN

 

1. Générer une racine CA , intermédiaire et un serveur CA cert comme expliqué dans ce document:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
 

 

 

2. Créer un SSL / profil sous device > Certificate Management > TLS SSL /TLS profil de service, se référant à ce qui précède créé « certificat serveur ».

 

3. Créez un profil d’authentification sous le profil d’authentification >'> ajouter.

 

Nom - donnez un nom à ce profil d’authentification

Type - choisir Local Database(You may choose ldap,radius etc depending on your requirement)

Onglet Avancé > autoriser la liste > Ajouter-sélectionner tout (si vous avez des groupes, vous pouvez le restreindre aux groupes requis)

Cliquez OK pour enregistrer.

 

 

 

 

 

4. Créer une interface tunnel sous network > Interfaces > Tunnel. Donner un nombre de tunnel, le routeur virtuel et la zone de sécurité. Nous recommandons la création d’une zone distincte pour VPN le trafic car elle donne une meilleure flexibilité et plus de sécurité pour créer des règles de sécurité distinctes pour le VPN trafic.

 

 

 

Configurer GlobalProtect le portail

 

5. Allez à Network > GlobalProtect > Portals > Add.

Général Tab. Donnez un nom au portail et sélectionnez l’interface qui sert de portail dans le menu déroulant vers le bas.

  

 

6. Onglet Authentification

Un. Sous SSL / profil de TLS service, sélectionnez SSL le / profil créé à TLS l’étape 2 de la baisse.

b. Authentification du client>Add. Donnez-lui n’importe quel nom, laissez le OS « n’importe quel » à moins que vous ne souhaitez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Cliquez sur ok pour enregistrer.

 

 

 7. Agent Tab. Ajouter un nouveau client config

 

Un. Onglet Authentification:

• Donner un nom à cette configuration de client
• Certificat de client-laissez-le comme aucun, ceci sera seulement nécessaire si nous voulons pousser n'importe quel certificat de client aux clients pour l'objectif d'Authentification.
• Enregistrer les informations d’identification utilisateur - Yes (valeur par défaut)
• (Facultatif) Remplacement de l’authentification : cochez les cases pour « Générer un cookie pour le remplacement d’authentification » et « Acceptez le cookie pour l’authentification ». Ce cookie peut être chiffré/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'. Note: Si un certificat est sélectionné ici sous portail, le même certificat doit être sélectionné sous le config gateway pour chiffrer/décrypter le cookie.

 

 

B. Onglet Critères de sélection Config. Laissez le OS groupe et l’utilisateur à « n’importe quel » (Vous pouvez le limiter aux groupes requis, si nécessaire)

 

IMPORTANT!

Onglet externe.

c. Sous « Passerelles externes », cliquez sur Ajouter. Donnez-lui n’importe quel nom.

Adresse- Entrez IP l’adresse ou FQDN qui a été référencée dans le certificat Nom commun ( CN ) ou Nom alternatif du sujet ( ) de SAN l’étape 1. Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'

 

 

  

d. Onglet App. Sous 'Connect-method' drop down, sélectionnez 'User-logon (Always On)'.

Remarque : Pour passer de GP « User-logon » à « On-demand », il suffit de changer la « méthode de connexion » de « logon utilisateur » à « à la demande ».

  

E. Cliquez OK pour enregistrer.

F. Sous 'Trusted CA Root', sélectionnez la racine CA et intermédiaire CA . Aussi, sélectionnez « Installer dans le magasin de certificats racine Local » pour installer ces certificats dans le magasin de certificats racine local du client après que le client se connecte avec succès sur le portail pour la première fois.

G. Cliquez OK pour enregistrer et fermer le portail GP config.

 

 

Configurer la GlobalProtect passerelle

 

8. Allez à Network > GlobalProtect > Gateways > Ajouter.

Général Tab. Donnez un nom à la porte d’entrée et sélectionnez l’interface qui sert de porte d’entrée dans le menu déroulant vers le bas.

 

 9. Onglet Authentification. Ceci est similaire à l’étape 6, mais il s’agit de porte d’entrée.

Un. Sous SSL / profil de TLS service, sélectionnez SSL le / profil créé à TLS l’étape 2 de la baisse.

b. Authentification du client>Add. Donnez-lui n’importe quel nom, laissez le OS « n’importe quel » à moins que vous ne souhaitez le restreindre. Dans le profil d’authentification, sélectionnez le profil d’auth créé à l’étape 3.

c. Cliquez sur ok pour enregistrer.

 

 

10. Agent Tab.

a. Paramètres du tunnel. Vérifiez le mode Tunnel pour activer le mode tunnel et sélectionnez l’interface tunnel créée à l’étape 4 à partir de la chute.

b. Activer IPSec. Cochez cette case pour activer IPSec, ceci est fortement recommandé. Avec ce paramètre activé, GP sera toujours essayer de se connecter d’abord sur IPSec, si elle échoue, puis GP retombe à SSL .

 

c. Paramètres de délai d’attente - laissez-les par défaut. Pour toute modification à cela, se référer au GlobalProtect guide admin.

d. Paramètres du client

Cliquez sur Ajouter > donner un nom à l’onglet remplacer l’authentification

-(Facultatif) L’authentification l’emporte: Cochez les cases pour ' Générer un cookie pour l’authentification de remplacement » et « Accepter cookie pour l’authentification passer outre ». Ce cookie peut être crypté/décrypté à l’aide de n’importe quel certificat sélectionné à partir de la baisse de 'Certificate to Encrypt/Decrypt Cookie'. Remarque: Si un certificat a été sélectionné à l’étape 7 sous portail, le même certificat doit être sélectionné ici en vertu du « certificat de cryptage/décryptage du cookie » de gateway.

 

e. Onglet Critères de sélection Config. Laissez le OS groupe et l’utilisateur à « n’importe quel » (vous pouvez le limiter aux groupes requis si vous le voulez).

 

IMPORTANT!

Si un groupe est choisi parmi le drop-down, assurez-vous que GlobalProtect l’utilisateur fait partie de ce groupe, sinon le client recevra NOT une adresse de la IP passerelle. Les problèmes courants ici sont lorsque l’utilisateur est identifié par GlobalProtect comme « domaine \utilisateur », mais firewall le « userid peut l’avoir comme « domaine entièrement qualifié \utilisateur », dans ces cas assurez-vous que le groupe / utilisateur est montré comme identique aux deux endroits en surécrivant champ de domaine dans l’identification de l’utilisateur>groupe de cartographie.

 

f. IP -piscines:

IMPORTANT!

• GlobalProtect la passerelle attribuera des ADRESSES IP de ce pool aux clients. Spécifiez les plages IP de pool d’un ou plusieurs DO NOT OVERLAP qui avec l’un des réseaux existants dans l’organisation. Chevauchement des sous-réseaux peut causer des problèmes de routage et des pannes de réseau.
• (Facultatif mais recommandé) Vous pouvez ajouter une deuxième plage IP de pool pour la sauvegarde qui sera utile dans les cas où l’utilisateur connecte un wifi qui fournit la IP même gamme de piscine que votre pool IP principal.

 

g. Split Tunnel > A ccess Route. Cela définit les sous-réseaux qui peuvent être atteints par les clients une fois GlobalProtect qu’ils sont connectés à la passerelle.

-Si « Inclure » est laissé vide, il le prend comme 0.0.0.0/0 c’est-à-dire tout le GlobalProtect trafic du client sera forcé de passer par GlobalProtect tunnel.

Pour le tunnelage fractionné: Spécifiez les sous-réseaux internes requis comme 10.0.0.0/8, 192.168.x.0/24 etc. de sorte GlobalProtect que le client utilisera le tunnel pour atteindre seulement ces sous-réseaux. Rien à l’extérieur de ces sous-réseaux est accessibles directement depuis le réseau local du client, c’est ce qu’on appelle tunnellisation fractionnée.

 

h. Cliquez OK pour enregistrer et fermer les paramètres du client. Un de plus OK pour enregistrer et fermer les paramètres de GlobalProtect passerelle.

 

11. Créez un nom d’utilisateur/mot de passe local sous > base de données utilisateur locale>utilisateurs pour les tests.

12. Créer des politiques de sécurité NAT et de sécurité pour que la zone VPN nouvellement créée donne accès de manière appropriée.

13. Engagez les modifications.

 

Pour tester sur une machine cliente

 

1. À partir du navigateur, aller à https://gp.portal-gw01.local/ c’est à dire https://<portal-ip/fqdn>

2. Entrez les informations d’identification

3. Télécharger le GlobalProtect client

4. Dans le GlobalProtect client, entrez l’adresse du portail et les informations d’identification, cliquez sur connectez-vous.