Vwire デプロイメントで透過的またはリダイレクトモードを使用するキャプティブポータル
Resolution
このドキュメントは、Vwire 展開でキャプティブポータルを構成する方法のガイドです。クライアント証明書認証で透過的またはリダイレクトモードの実装に関するドキュメントを提供します。
透過モード:
透過的-ファイアウォールは、キャプティブポータルルールごとにブラウザトラフィックをインターセプトし、元の宛先 URL を偽装して、認証を呼び出す HTTP 401 を発行します。ただし、ファイアウォールには送信先 URL の実際の証明書がないため、セキュリティで保護されたサイトにアクセスしようとしているユーザーに対して、ブラウザは証明書エラーを表示します。したがって、このモードは、レイヤ2や仮想ワイヤのデプロイメントなど、絶対に必要な場合にのみ使用してください。
キャプティブポータルサーバー証明書を生成します。この例では、信頼されたルート CA を使用して、中間/クライアント証明書の署名にも使用しています。あなたが望むなら、確かに別のサーバー証明書を作成することができます。
使用する認証プロファイルを作成します。この場合、不明なユーザーを認証するために LDAP が使用されます。
透過モードを使用してキャプティブポータルを有効にします。前述のとおり、以前に作成した LDAP 認証プロファイルとキャプティブポータルサーバー証明書を使用しています。
キャプティブポータルポリシーを構成する: (ssl 対応の web サイトで CP を起動するには、ssl 復号化を有効にする必要があります)
変更をコミットした後、Vwire トラストゾーンの背後にあるシステム上の web ブラウザ (ソース IP は未知のユーザである必要がありますが、キャプティブポータルのプロンプトは表示されません) を開きます (注: このゾーンがユーザ id に対して有効であることを確認してください) 私のホストの ip は192.168.125.111 であり、それは現在、PA の ip ユーザーマッピングでは不明だ。
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
管理者 @ ラボ-26-PA5050 >
前述のように、透過的モードを使用している場合、すべてのブラウザは、宛先 url が証明書にある共通名と一致しないことを示す警告を発行します。
共通名の不一致の例外を受け入れた後、ユーザーを認証する資格情報を要求するキャプティブポータル Web フォームが表示されます。
web フォームを完了して正しい資格情報を入力すると、ユーザーは元の要求された URL/web サイトにリダイレクトされます。
セッションテーブルと IP マッピングは、次のように表示されます。
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout ( s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.111 vsys1 CP rkalugdan 888 3462
合計: 1 ユーザー
管理者 @ lab-26-PA5050 > ショーセッション id 33570653
セッション33570653
c2s の流れ:
出典: 192.168.125.111 [vtrust]
dst: 209.95.138.162
プロト: 6
スポーツ: 39066 dport:80
状態: アクティブタイプ: フロー
src ユーザー: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>
dst ユーザー: 未知
s2c の流れ:
出典: 209.95.138.162 [vuntrust]
dst: 192.168.125.111
プロト: 6
スポーツ:80 dport: 39066
状態: アクティブタイプ: フロー
src ユーザー: 未知
dst ユーザー: rkalugdan
DP: 1
インデックス (ローカル):: 16221
開始時間: 火1月 27 08:27:52 2015
タイムアウト: 3600 sec
生きている時間: 3593 sec
合計バイト数 (c2s): 1381
合計バイト数 (s2c): 1006
layer7 パケット数 (c2s):13
layer7 パケット数 (s2c):12
vsys: vsys1
アプリケーション: ウェブブラウジング
ルール: vwire
最後にログに記録するセッション: True
セッションエイガーのセッション: True
HA ピアによって更新されたセッション: False
layer7 処理: 有効
URL フィルタリングが有効: True
URL カテゴリ: コンテンツ配信ネットワーク
syn-クッキーを介してセッション: 偽
セッションはホストで終了しました: False
セッションはトンネルを横断: 偽
キャプティブポータルセッション: False
進入インタフェース: ethernet1/6
出口インターフェイス: ethernet1/4
セッション QoS ルール: N/A (クラス 4)
終了理由: 不明
リダイレクトモード:
リダイレクト-ファイアウォールは、未知の http または HTTPS セッションをインターセプトし、http 302 リダイレクトを使用して、認証を実行するために、ファイアウォール上のレイヤ3インターフェイスにリダイレクトします。これは、より優れたエンドユーザーエクスペリエンス (証明書エラーなし) を提供するため、推奨モードです。ただし、追加のレイヤ3構成が必要です。リダイレクトモードのもう1つの利点は、セッション cookie の使用を提供することで、タイムアウトが切れるたびに再マッピングを必要とせずに、ユーザーが認証済みサイトを引き続き参照できるようにすることです。これは、セッションが開いたままである限り、ip アドレスの変更時に再認証する必要がないため、ある ip アドレスから別の (たとえば、企業 LAN からワイヤレスネットワークへ) ローミングするユーザーにとって特に便利です。また、NTLM 認証を使用する場合は、ブラウザが信頼済みサイトに対してのみ資格情報を提供するため、リダイレクトモードを使用する必要があります。
(リダイレクトモードでキャプティブポータルを使用するには、アクティブなポータルのリダイレクト先となるレイヤ3インタフェースに割り当てられているインタフェース管理プロファイルで応答ページを有効にする必要があります)。
この例では、クライアント証明書認証で使用するためにクライアント証明書に署名する、信頼されたルート ca (中間 ca) を生成しました。キャプティブポータルサーバー証明書として使用される信頼された CA については、私は cn として ' cpcaroot.pantac2008.com ' を使用し、クライアント cert は ' レナートとしての cn を持つことになります。我々は、クライアント証明書のプロファイルを介してキャプティブポータル 'd であるユーザーを識別するために ' レナート ' を使用します。
' CA_Root '、' 中間 ' 証明書は、PA から PEM 形式でエクスポートされ、ホスト・クライアントに読み込まれます。これは、GPO を使用して運用環境でよりシームレスに実行できます。 このシナリオでは、信頼されたルートと中間 CA ストアにそれぞれインポートしました。
中間 cert によって署名されたクライアント証明書は、この作業を行うために秘密キーと公開鍵の両方を必要とするため、PKCS12 形式でエクスポートする必要があります。その後、それに応じて個人証明書ストアにインポートされます。
以下に示すように、同じキャプティブポータルポリシーが適用されます。
クライアント証明書の認証に使用する証明書プロファイルを作成します。[ca 証明書] オプション内に、信頼されたルート ca と中間 ca の両方を挿入します。ユーザー名フィールドは ' サブジェクト ' の既定の共通名になります。このオプションを変更して、ユーザーの識別に役立てることができます。前述のとおり、ユーザー名フィールドでサブジェクトを選択することによって、キャプティブポータルユーザーを識別するために CN ' レナート ' を使用します。
キャプティブポータルを有効にして、「リダイレクト」モードを選択します。これは、あなたの注意を必要とする他のフィールドを有効にします。サーバー証明書と同じ信頼されたルート CA を使用しています。使用された CN は ' cpcaroot.pantac2008.com でした。これは、構成されたリダイレクトホストになり、以前に作成したクライアント証明書プロファイルをポイントします。
この例では、ホスト・マシンが ' cpcaroot.pantac2008.com ' に到達する方法を知っていることを確認しなければならないので、それに応じてホスト・ファイルを設定する必要があります。DNS が、サーバー証明書の CN と一致する必要があるリダイレクトホストとして定義されている fqdn を解決できる場合、これは運用環境で問題になることはありません。
Windows ホストファイルの出力:
# 著作権 (c) 1993-2009 マイクロソフト社は
#
# これは、Windows 用の Microsoft tcp/ip で使用されるサンプルホストファイルです。
#
# このファイルには、ホスト名への IP アドレスのマッピングが含まれています。各
# エントリは、個々の行に保持する必要があります。IP アドレスは
# 最初の列に対応するホスト名の後に配置される。
# IP アドレスとホスト名は、少なくとも1つで区切られる必要があります
スペース.
#
# また、コメント (など) は、個々に挿入されることがあります
# 行または ' # ' 記号で表されるマシン名に従ってください。
#
# 例:
#
#
192.168.125.2 cpcaroot.pantac2008.com
リダイレクトモードを使用している間に Vwire 展開では、この機能を取得するには、PA デバイス上の L3 インターフェイスを書き込む必要があります。インターフェイスは L3 信頼ゾーンに割り当てられ、少なくとも応答ページで有効になっている管理プロファイルを持っています。使用される IP アドレスが192.168.125.2 であることに注意してください、キャプティブポータルサーバー証明書の CN ' cpcaroot.pantac2008.com ' の使用によって、キャプティブポータルが起動されると、私のシステムがリダイレクトされます。
また、リダイレクトされたホストは、それに応じて arp 要求に応答するように、クライアントと同じブロードキャストドメインにある必要があることに注意してください。キャプティブポータルのリダイレクトインターフェイスがクライアントのブロードキャストドメインの外にあり、トラフィックが v 線を通過する必要がある場合は、このインターフェイスへのトラフィック歪めを許可する例外ポリシーを作成する必要があります。キャプティブポータルの介入
www.google.com にソケットを開こうとしているホストのスクリーンショットを次に示します。 このシナリオでは、LDAP ではなくクライアント証明書認証を使用しているため、ブラウザはクライアント cert を PA デバイスに送信します。私はその後 www.jimmyr.com にブラウザをリダイレクトし、私は今、web ページを提示していると CP は私のクライアントの証明書ごとに ' レナート ' として私を識別しています。
以前は192.168.125.223 の不明として見られる:
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout ( s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 不明不明 2 5
合計: 1 ユーザー
クライアント証明書の認証が完了すると、PA は次のようになります。
管理者 @ lab-26-PA5050 > 表示ログシステムの方向に等しい後方
2015/01/27 09:05:58 情報一般一般0ユーザー管理者192.168.125.223 から CLI 経由でログイン
2015/01/27 09:05:58 情報一般認証-su 0 ユーザーの admin' が認証されました。 から: 192.168.125.223。
2015/01/27 09:05:40 情報一般一般0キャプティブポータル認証はユーザーのために成功しました: 192.168.125.223 のレナート、vsys1
2015/01/27 09:05:40 情報一般一般0キャプティブポータルクライアント証明書認証の成功:: ffff: 192.168.125.223.
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout ( s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 CP レナート 899 3518
192.168.125.111 vsys1 CP rkalugdan 261 1037
合計: 2 ユーザー
管理者 @ lab-26-PA5050 > ショーセッション id 33571113
セッション33571113
c2s の流れ:
出典: 192.168.125.223 [vtrust]
dst: 216.58.216.2
プロト: 6
スポーツ: 51049 dport:80
状態: アクティブタイプ: フロー
src ユーザー: レナート<======================================================></======================================================>
dst ユーザー: 未知
s2c の流れ:
出典: 216.58.216.2 [vuntrust]
dst: 192.168.125.223
プロト: 6
スポーツ:80 dport: 51049
状態: アクティブタイプ: フロー
src ユーザー: 未知
dst ユーザー: レナート
DP: 1
インデックス (ローカル):: 16681
開始時間: 火1月 27 09:05:41 2015
タイムアウト: 3600 sec
生きている時間: 3580 sec
合計バイト数 (c2s): 3637
合計バイト数 (s2c): 9854
layer7 パケット数 (c2s):10
layer7 パケット数 (s2c):14
vsys: vsys1
アプリケーション: ウェブブラウジング
ルール: vwire
最後にログに記録するセッション: True
セッションエイガーのセッション: True
HA ピアによって更新されたセッション: False
layer7 処理: 有効
URL フィルタリングが有効: True
URL カテゴリ: web 広告
syn-クッキーを介してセッション: 偽
セッションはホストで終了しました: False
セッションはトンネルを横断: 偽
キャプティブポータルセッション: False
進入インタフェース: ethernet1/6
出口インターフェイス: ethernet1/4
セッション QoS ルール: N/A (クラス 4)
終了理由: 不明
ここでは、ブラウザとして Firefox の Ubuntu クライアントを使用してクライアント証明書の認証の例です。私は、クライアント証明書は ' あなたの証明書のストアに関連付けられているのに対し、Firefox 用の信頼されたストアにルート CA と中間証明書をインストールしました。
ユーザーがwww.jimmyr.com にアクセスしようとしたときにクライアント証明書を提示する Firefox の
最後に、元の要求されたウェブサイトはユーザーに示される
以下の syslog および ip-ユーザマッピングの PA CLI 出力:
管理者 @ lab-26-PA5050 > ユーザーの ip を表示する-ユーザー
IdleTimeout からすべての ip Vsys をマッピングする
MaxTimeout (秒)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CPレナート 893
3561
合計: 1 ユーザー
dmin @ lab-26-PA5050 > ログシステムの方向に等しい下位の
時間重大度サブタイプオブジェクト EventID ID の説明を表示
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = == = = = = = = = =
2015/01/27 13:24:07 情報一般一般0受け入れキーボード-インタラクティブ/pam の管理 fr
om 192.168.125.111 ポート 50672 ssh2
2015/01/27 13:23:45 情報一般一般0ユーザー管理者192.168.125.1 から CLI 経由でログイン
11
2015/01/27 13:23:44 情報一般認証-su 0 ユーザーの admin' が認証されました。 から: 192.168.125
. 111.
2015/01/27 13:23:11 情報一般一般0キャプティブポータル認証の使用に成功
r: レナート on 192.168.125.111, vsys1
2015/01/27 13:23:11 情報一般一般0キャプティブポータルクライアント証明書 authenticatio
n 成功:: ffff: 192.168.125.111.
以下は、Chrome ブラウザを使用した MacOS クライアントからの例です。キーチェーンアクセス証明書と [証明書] フォルダを使用して、同じ certs をコピーしました。
もう一度見ることができるように、PA はクライアント証明書の認証を要求しており、Chrome はクライアント証明書を期待どおりに提示しています。
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 不明不明 3 6
合計: 1 ユーザー
管理者 @ lab-26-PA5050 > 表示ユーザーの ip-ユーザー-マッピングすべて
ユーザー IdleTimeout からの IP Vsys MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 CP レナート 899 3585
合計: 1 ユーザー
時間重大度のサブタイプオブジェクト EventID ID の説明
===============================================================================
2015/01/27 13:00:40 情報一般一般0ワイルドファイア更新ジョブは、ユーザーの自動更新エージェントに成功しました
2015/01/27 13:00:39 情報一般一般0ワイルドファイアパッケージ<unknown version="">は、自動更新エージェントによってバージョンから51969-58674 に</unknown>アップグレードされました
2015/01/27 13:00:37 情報一般一般0インストールされた山火事パッケージ: panup-all-wildfire-51969-58674
2015/01/27 13:00:35 情報一般一般0ワイルドファイアバージョン51969-58674 自動更新エージェントによってダウンロード
2015/01/27 13:00:34 情報一般一般0更新サーバーへの接続: 正常に完了しました, 10.46.32.26 によって開始
2015/01/27 13:00:23 情報一般一般0更新サーバへの接続: updates.paloaltonetworks.com が正常に完了しました, 10.46.32.26 によって開始
2015/01/27 13:00:21 情報一般一般0更新サーバへの接続: updates.paloaltonetworks.com が正常に完了しました, 10.46.32.26 によって開始
2015/01/27 13:00:20 情報一般一般0キャプティブポータル認証はユーザーのために成功しました: 192.168.125.113 のレナート、vsys1
2015/01/27 13:00:20 情報一般一般0キャプティブポータルクライアント証明書認証の成功:: ffff: 192.168.125.113.