GlobalProtectユーザー ログオンを使用した基本構成
Resolution
ユーザー GlobalProtect ログオン (常時オン) とは何ですか。
名前に示すように、ユーザー ログオンは、 GlobalProtect ユーザーがコンピューターにログオンした後に接続されます。 SSO(Windows のみ) またはユーザー資格情報を保存する ( ) と共に使用すると、 MAC GlobalProtect ユーザーがマシンにログインした後に自動的に接続されます。 ユーザー ログオンの背後にある考え方は、ユーザーが 常に に に接続されたままにすることです GlobalProtect 。 に接続すると GlobalProtect 、ユーザーは必要に応じてアプリケーションを無効にする「無効」オプション(管理者によって許可されている場合)が表示されます GlobalProtect 。
このドキュメントでは、 GlobalProtect ユーザー ログオンの基本的な構成について説明します。
- 認証 - ローカル データベース
- ポータル ゲートウェイと同じインターフェイスです。
- ルート、中間およびサーバーの証明書が生成されます。 PAN
1. CA このドキュメントで説明されているように、ルート、中間 CA 、およびサーバー証明書を生成します。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
2. 上記の「 SSL TLS サーバ証明書」を参照して、 デバイス>証明書管理 SSL >/TLS サービスプロファイルの下に/プロファイルを作成します。
3. [デバイス >認証プロファイル] > [追加] の下に認証プロファイルを作成します。
名前 - この認証プロファイルに名前を与える
入力 - ローカル Database(You may choose ldap,radius etc depending on your requirement) を選択してください。
詳細設定タブ > 許可リスト > 追加-すべて選択 (グループがある場合は、必要なグループに制限することができます)
クリック OK して保存します。
4. ネットワーク > インターフェイス > トンネル の下にトンネル インターフェイスを作成します。 トンネル数、仮想ルーターとセキュリティ ゾーンを与えます。 トラフィックに対して別の VPN セキュリティ規則を作成するための柔軟性とセキュリティ性が向上するため、トラフィック用に別のゾーンを作成することをお勧めします VPN 。
ポータルの構成 GlobalProtect
5. [追加] > [ネットワーク GlobalProtect >> ポータル] に移動します。
[全般] タブ。 ポータルに名前を与えるし、ダウン ドロップからポータルとして機能するインターフェイスを選択します。
6. [認証]タブ
A。[ SSL サービス プロファイル] で TLS 、 SSL TLS ドロップダウンから手順 2 で作成した / プロファイルを選択します。
b. クライアント認証>追加. 制限する OS 場合を除き、任意の名前を付けて、'any' のままにします。 認証プロファイルの下には、ステップ 3 で作成した認証プロファイルを選択します。
c. [OK] をクリックして保存します。
7. [エージェント] タブ 新しいクライアント構成の追加
A。[認証] タブ:
- このクライアント設定ファイルに任意の名前を付ける
- [クライアント証明書]-[なし] のままにしておくと、クライアント証明書をクライアントにプッシュして認証を目的とする場合にのみ必要になります。
- ユーザーの資格情報を保存 - Yes (デフォルト)
- (オプション)認証のオーバーライド: [ 認証のオーバーライド用に Cookie を生成する] と [認証の上書き用に Cookie を受け入れる] のチェックボックスをオンにします。 このクッキーは、「Cookieの暗号化/復号化証明書」のドロップダウンから選択された任意の証明書を使用して暗号化/復号化することができます 。 注: ポータルで証明書を選択した場合は、ゲートウェイの構成で同じ証明書を選択して、Cookie の暗号化/暗号化を解除する必要があります。
B。 [構成の選択基準] タブ および OS ユーザー グループは 'any' のままにします (必要な場合は必要なグループに制限できます)
IMPORTANT!
外部タブ。
c. [外部ゲートウェイ] で [追加] をクリックし、任意の名前を付けます。
Address- IP アドレスを入力するか FQDN 、またはステップ 1 の証明書共通名 ( ) CN またはサブジェクト代替名 ( SAN ) で参照されているアドレスを入力します。 この例では、入力してください ' gp.portal-gw01.local'
d. [アプリ] タブ。 [接続方法] ドロップダウンで、[ユーザー ログオン (常時オン)]を選択します。
注: この設定を GP 'ユーザー ログオン' から "オンデマンド" に変更するには、"接続方法" を "ユーザー ログオン" から "オンデマンド" に変更します。
E。クリック OK して保存します。
F。[信頼されたルート CA ] で、ルート CA と中間を選択 CA します。 「ローカル ルート証明書ストアにインストールする」を選択しても、クライアントは正常に初めてポータルに接続した後、クライアントのローカル ルート証明書ストアにこれらの証明書をインストールします。
G。ポータル OK 構成を保存して閉じるには、ここをクリック GP します。
ゲートウェイの構成 GlobalProtect
8. [ネットワーク GlobalProtect >> ゲートウェイ] > [追加]に移動します。
[全般] タブ。 ゲートウェイに名前を与えるし、ダウン ドロップからゲートウェイとして機能するインターフェイスを選択します。
9. [認証] タブ これは手順 6 と同様に、これはゲートウェイは。
A。[ SSL サービス プロファイル] で TLS 、 SSL TLS ドロップダウンから手順 2 で作成した / プロファイルを選択します。
b. クライアント認証>追加. 制限する OS 場合を除き、任意の名前を付けて、'any' のままにします。 認証プロファイルの下には、ステップ 3 で作成した認証プロファイルを選択します。
c. [OK] をクリックして保存します。
10. エージェントタブ.
a. トンネル設定。 トンネル モードを有効にするには[トンネル モード]をオンにし、ドロップダウンから手順 4 で作成したトンネル インターフェイスを選択します。
b. IPSec を有効にします。 IPSec を有効にするには、このチェック ボックスをオン にしてください。 この設定を有効にすると、 GP 必ず最初に IPSec 経由で接続しようとします。 GP SSL
c. タイムアウト設定 - デフォルトのままにします。 この変更については、 GlobalProtect 管理者ガイドを参照してください。
d. クライアント設定
追加をクリックして > 認証 [優先] タブに名前を付けます
-(オプション)認証のオーバーライド: ' のチェックボックスをオンにします。認証のオーバーライドのためのクッキーを生成し、「認証の上書きのためのクッキーを受け入れる」。 このクッキーは、「Cookieの暗号化/復号化証明書」のドロップダウンから選択した任意の証明書を使用して暗号化/復号化することができます 。 注: ポータルのステップ 7 で証明書を選択した場合は、Gateway の「Cookie を暗号化/暗号化解除するための証明書」の下で同じ証明書を選択する必要があります。
e. [構成選択基準] タブ と OS ユーザー グループは 'any' のままにします (必要に応じて必要なグループに制限できます)。
IMPORTANT!
ドロップダウンからグループを選択した場合、 GlobalProtect クライアントが NOT IP ゲートウェイからアドレスを受信しない場合は、ユーザーがこのグループの一部であることを確認します。 ここでの一般的な問題は、ユーザーが GlobalProtect 'domain\user' で識別されるが firewall 、'ユーザー ID が'完全修飾ドメイン\ユーザー' として識別される場合>です。
f. IP -プール:
IMPORTANT!
- GlobalProtect ゲートウェイは、このプールからクライアントに IP を割り当てます。 組織内の既存のネットワークのいずれかとの 1 つ以上 IP DO NOT OVERLAP のプール範囲を指定します。 ルーティングの問題とネットワークの停止、サブネットを重複することがあります。
- (オプションですが推奨)バックアップ用の 2 番目 IP のプール範囲を追加すると、ユーザーがプライマリ プールと同じプール範囲を提供している Wifi を接続する場合に便利です IP IP 。
g.分割トンネル> A ccess ルート. これは GlobalProtect 、クライアントがゲートウェイに接続した後に到達できるサブネットを定義します。
-Include が空白の場合は 、0.0.0.0/0 とし、つまりクライアントからのトラフィックはすべて GlobalProtect トンネルを通過する必要があります GlobalProtect 。
スプリット トンネリングの場合: クライアントがトンネルを使用してこれらのサブネットのみに到達できるように、10.0.0.0/8、192.168.x.0/24 などの必要な内部 GlobalProtect サブネットを指定します。 以外のこれらのサブネットがクライアントのローカル ネットワークから直接アクセスされる、これは、分割トンネリングと呼ばれます。
H。クリック OK すると、クライアント設定を保存して閉じます。 もう 1 つ OK 、ゲートウェイ設定を保存して閉じます GlobalProtect 。
11. テスト用のローカルユーザーデータベース >ユーザー>ユーザーの下にローカル ユーザー名/パスワードを作成します。
12. NAT 新しく作成されたゾーンのセキュリティとポリシー VPN を作成し、適切なアクセス権を付与します。
13. 変更を確定します。
クライアント マシン上でテストするには
1. ブラウザから、https://gp.portal-gw01.local/、https://<portal-ip/fqdn>
2. 資格情報を入力します。
3. クライアントをダウンロードする GlobalProtect
4. GlobalProtect クライアントでポータルアドレスと認証情報を入力し、[接続]をクリックします。