GlobalProtect基本配置与用户-登录
Resolution
GlobalProtect用户登录(始终处于打开)中的内容是什么?
正如名称所说,用户-登录后, GlobalProtect 用户登录到计算机后连接。 当此功能与 SSO (仅限 Windows)一起使用或保存用户凭据 MAC () GlobalProtect 时,用户登录到计算机后自动连接。 用户-登录背后的理念是让用户"始终"保持连接 GlobalProtect 。 连接后 GlobalProtect ,用户将看到"禁用"选项(如果管理员允许) GlobalProtect 在需要时禁用应用程序。
本文档解释了 GlobalProtect 用户-登录的基本配置,并考虑到以下几个因素:
- 身份验证-本地数据库
- 相同的接口作为门户和网关。
- 根、中间和服务器证书生成于 PAN
1. 生成 CA CA 本文档中解释的根、中间体和服务器证书:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK
2. SSL TLS 在 设备>证书管理 SSL >/TLS 服务配置文件下创建/配置文件,引用上述创建的"服务器证书"。
3. 在"添加">身份验证配置文件下创建身份验证配置文件>。
名称-给到此身份验证配置文件的名称
类型-选择本地 Database(You may choose ldap,radius etc depending on your requirement)
高级选项卡 >> 允许列表 >> 添加-选择所有 (如果您有组, 您可以将其限制为必需的组)
单击 OK 以保存。
4. 在隧道网络>界面下创建隧道界面>。 给一个隧道数量、 虚拟路由器和安全区。 我们建议创建一个单独的 VPN 交通区域,因为它提供了更好的灵活性和更多的安全性,为交通创建单独的安全规则 VPN 。
配置 GlobalProtect 门户
5. 转到 网络 GlobalProtect >>门户>添加。
一般选项卡。 给门户网站的名称,并选择作为门户从下拉列表下的接口。
6. 身份验证选项卡
a.在 SSL / TLS 服务配置文件下, SSL TLS 从下拉中选择步骤2中创建的/配置文件。
b. 客户身份验证>Ad.给它起任何名字,留下 OS 给'任何',除非你想限制它。 根据身份验证配置文件,选择在步骤 3 中创建的身份验证配置文件。
c. 单击"确定"以保存。
7. 代理选项卡。 添加新的客户端配置
a.身份验证选项卡:
- 给这个客户端配置的任何名字
- 客户端证书-将其保留为 none, 仅当我们要将任何客户端证书推送到客户端以进行身份验证时, 才需要这样做。
- 保存用户凭据-是的 (默认)
- (可选)身份验证覆盖:选中"生成用于 身份验证覆盖的 Cookie"和"接受 Cookie 以进行身份验证覆盖"复选框。 此 Cookie 可以使用从"加密/解密 Cookie 证书"下拉列表选择的任何证书进行加密/ 解密。注意:如果在门户下选择证书,则需要根据网关的配置选择相同的证书,以进行加密/解密 Cookie。
B。 配置选择条件选项卡。 将 OS 用户组留给"任何"组(如有必要,您可以将其限制为所需组)
IMPORTANT!
外部选项卡。
c. 在"外部网关"下,单击"添加"。给它起任何名称。
地址-输入 IP 地址或 FQDN 在第1步的证书通用名称 CN ()或主题替代名称 SAN ()中引用的地址。 在此示例中,我们输入 ' gp.portal-gw01.local'
d. 应用选项卡。 在"连接方法"下,请选择"用户登录(始终处于打开)"。
注意:要将此 GP 设置从"用户-登录"更改为"按需",只需将"连接方法"从"用户登录"更改为"按需"。
e.单击 OK 以保存。
F。在"可信根 CA "下,选择根 CA 和中间 CA 体。 此外,选择在本地的根证书存储中安装客户端的本地根证书存储中安装这些证书后在客户端成功连接到门户网站第一次。
G。单击 OK 以保存并关闭 GP 门户配置。
配置 GlobalProtect 网关
8. 转到 网络 GlobalProtect >>网关>添加。
一般选项卡。 给网关的名称并选择充当网关从下拉列表下的接口。
9. 身份验证选项卡。 这是类似于步骤 6,但这是网关。
a.在 SSL / TLS 服务配置文件下, SSL TLS 从下拉中选择步骤2中创建的/配置文件。
b. 客户身份验证>Ad.给它起任何名字,留下 OS 给'任何',除非你想限制它。 根据身份验证配置文件,选择在步骤 3 中创建的身份验证配置文件。
c. 单击"确定"以保存。
10. 代理标签。
a. 隧道设置。 检查"隧道模式"以启用隧道模式,然后从下拉列表中选择步骤 4 中创建的隧道接口。
b. 启用 IPSec. 选中此框以启用 IPSec, 强烈建议这样做。 启用此设置后, GP 始终会尝试首先通过 IPSec 进行连接,如果失败,则 GP 会回落到 SSL 。
c. 超时设置 - 将它们保留为默认值。 有关此更改的任何更改,请参阅 GlobalProtect 管理员指南。
d. 客户端设置
单击添加 > 名称给身份验证重写选项卡
-(可选)身份验证覆盖:选中框生成用于身份验证覆盖的曲奇"和"接受曲奇进行身份验证覆盖"。 此 Cookie 可以使用从"加密/解密 Cookie 证书"的下拉中选择的任何证书进行加密/解密 。 注意:如果在门户下的第 7 步中选择了证书,则需要在网关"加密/解密 Cookie 证书"下在此处选择相同的证书。
e. 配置选择标准选项卡。 将 OS 用户组留给"任何"组(如果需要,您可以将其限制为所需组)。
IMPORTANT!
如果从下拉中选择组,请确保 GlobalProtect 用户是此组的一部分,如果不是,客户端将从 NOT IP 网关接收地址。 这里的常见问题是,当用户被标识 GlobalProtect 为"域/用户",但 firewall "使用者可能将其视为"完全合格的域/用户"时,在这些情况下,通过在用户识别>群映射中覆盖域字段,确保在这两个地方显示为相同的组/用户。
f. IP - 池:
IMPORTANT!
- GlobalProtect 网关将从此池中向客户分配IP。 指定 IP DO NOT OVERLAP 组织中任何现有网络的一个或多个池范围。 重叠的子网可以导致网络中断和路由问题。
- (可选但推荐)您可以添加第二个 IP 池范围进行备份,如果用户连接的 wifi 与主池提供相同的池范围,这将非常有用 IP IP 。
g. 斯普利特隧道> A通道。 这定义了 GlobalProtect 客户端连接到网关后可以访问哪些子网。
-如果"包括"为空白,则将其视为 0.0.0/0, 即来自 GlobalProtect 客户端的所有流量将被迫通过 GlobalProtect 隧道。
拆分隧道:指定所需的内部子网,如 10.0.0.0/8、192.168.x.0/24 等,以便 GlobalProtect 客户端使用隧道只到达这些子网。 除这些子网之外的任何会直接从客户端的本地网络访问,这就所谓拆分隧道。
H。单击 OK 以保存并关闭客户端设置。 再 OK 保存一个并关闭 GlobalProtect 网关设置。
11. 在 设备>本地 用户数据库下创建本地用户名/密码>用户进行测试。
12. NAT 为新创建的区域创建安全和政策 VPN ,以便适当允许访问。
13. 提交更改。
在客户端计算机上进行测试
1.从浏览器,转到 https://gp.portal-gw01.local/ 即 https://<portal-ip/fqdn>
2. 输入凭据
3. 下载 GlobalProtect 客户端
4. 在 GlobalProtect 客户端中,输入门户地址和凭据,单击连接。