在 Vwire 部署中使用透明或重定向模式的固定门户
Resolution
本文档是在 Vwire 部署中配置固定门户的 "如何" 指南。它将提供有关使用客户端证书身份验证实现透明或重定向模式的文档。
透明模式:
透明-防火墙截获每个捕获的门户规则的浏览器通信量, 并模拟原始目标 URL, 发出 HTTP 401 以调用身份验证。但是, 由于防火墙没有目标 URL 的真实证书, 因此浏览器将向试图访问安全站点的用户显示证书错误。因此, 您应该只在绝对必要时使用此模式, 例如在2层或虚拟导线部署中。
生成固定门户服务器证书。在此实例中, 我使用的受信任根 CA 也用于对中间/客户端证书进行签名。如果愿意, 您当然可以创建单独的服务器证书。
创建要使用的身份验证配置文件。在这种情况下, LDAP 用于对未知用户进行身份验证。
使用透明模式启用固定门户。如上所述, 我们使用以前创建的 LDAP 身份验证配置文件和固定门户服务器证书。
配置您的固定门户策略: (注意, 要在启用 ssl 的网站上触发 CP, 则需要启用 ssl 解密)
提交更改后, 在系统上打开一个 web 浏览器 (源 IP 必须是未知用户, 否则您将无法获得Vwire 信任区域后面的固定门户提示) (注意, 请确保此区域已启用用户标识). 我的主机 ip 是 192.168.125.111, 它目前是未知的 PA 的 IP 用户映射。
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
admin@lab-26-PA5050>
如前所述, 使用透明模式时, 所有浏览器都会发出警告, 指示目标 url 与证书中找到的公用名称不匹配。
在接受了公用名称不匹配的异常后, 将向您提供一个 "固定门户 Web 窗体", 请求凭据来验证用户身份。
完成 web 表单并输入正确的凭据后, 用户将被重定向到原始请求的 URL/网站。
会话表和 IP 映射将显示如下:
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
IP Vsys 从用户IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.111 vsys1 CP rkalugdan 888 3462
总计: 1 用户
admin@lab-26-PA5050> 显示会话 id 33570653
会话33570653
c2s 流量:
来源: 192.168.125.111 [vtrust]
dst: 209.95.138.162
原: 6
体育: 39066 dport:80
状态: 活动类型: 流
src 用户: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>
dst 用户︰ 未知
s2c 流量:
来源: 209.95.138.162 [vuntrust]
dst: 192.168.125.111
原: 6
体育:80 dport: 39066
状态: 活动类型: 流
src 用户︰ 未知
dst 用户: rkalugdan
DP: 1
索引 (本地):: 16221
开始时间: 星期二 1月27日 08:27:52 2015
超时: 3600 秒
居住时间: 3593 秒
总字节数 (c2s): 1381
总字节数 (s2c): 1006
layer7 数据包计数 (c2s):13
layer7 数据包计数 (s2c):12
vsys: vsys1
应用: 网页浏览
规则: vwire
结束时要记录的会话: True
会话中的会话: True
由 HA 对等方更新的会话: False
layer7 处理: 启用
已启用 URL 筛选: True
URL 类别: 内容传递-网络
通过 syn cookie 进行会话: False
主机上的会话终止: False
会话遍历隧道: False
被捕获的门户会话: False
入口接口: ethernet1/6
出口接口: ethernet1/4
会话 QoS 规则: N/A (类 4)
结束原因: 未知
重定向模式:
重定向-防火墙截获未知的 HTTP 或 HTTPS 会话, 并使用 HTTP 302 重定向将它们重定向到防火墙上的3层接口, 以便执行身份验证。这是首选模式, 因为它提供了更好的最终用户体验 (没有证书错误)。但是, 它需要额外的3层配置。重定向模式的另一个好处是它提供了会话 cookie 的使用, 这使用户能够继续浏览到经过身份验证的站点, 而无需在每次超时过期时重新映射。这对于漫游从一个 IP 地址到另一个的用户 (例如, 从企业 LAN 到无线网络) 尤其有用, 因为只要会话保持打开状态, 它们就不需要在 ip 地址更改时重新进行身份验证。此外, 如果计划使用 NTLM 身份验证, 则必须使用重定向模式, 因为浏览器只向受信任的站点提供凭据。
(若要在重定向模式下使用被捕获的门户, 必须在分配给活动门户的3层接口的接口管理配置文件上启用响应页。
在本示例中, 我生成了一个受信任的根 ca, 一个中间 ca, 然后签署客户端证书, 以便在客户端证书身份验证中使用。对于将用作固定门户服务器证书的受信任 CA, 我将使用 "cpcaroot.pantac2008.com" 作为 cn, 并且客户端证书将其 cn 作为 "雷纳多"。我们将使用 ' 雷纳多 ' 来帮助识别用户被捕获的门户通过客户端证书配置文件。
"CA_Root"、"中级" 证书以 PEM 格式从 PA 导出并导入到主机客户端。这可以通过 GPO 在生产环境中更无缝地进行。 在这种情况下, 我已经分别将它们导入到受信任的根 CA 存储区中。
由中间证书签名的客户端证书将需要以 PKCS12 格式导出, 因为它将需要私钥和公钥来进行此工作。然后, 它将相应地导入到您的个人证书存储中。
相同的固定门户策略应用如下所示。
创建用于客户端证书身份验证的证书配置文件。在 ca 证书选项中插入受信任的根 ca 和中间 ca。用户名字段将被 "主题" 默认为普通名称。您可以修改此选项以帮助识别用户。如前所述, 我们将使用 CN ' 雷纳多 ' 来帮助识别被捕获的门户用户, 方法是在用户名字段中选择主题。
启用固定门户并选择 "重定向" 模式。这将启用需要您注意的其他字段。我使用与服务器证书相同的受信任根 CA。CN 使用的是 ' cpcaroot.pantac2008.com。这将是配置的重定向主机, 然后我们指向以前创建的客户端证书配置文件。
在这个例子中, 我必须确保我的主机知道如何达到 ' cpcaroot.pantac2008.com ', 所以我必须相应地配置主机文件。如果 DNS 能够解析定义为重定向主机的 fqdn, 这也不应成为生产环境中的问题, 这也应该与服务器证书的 CN 匹配。
Windows 主机文件输出:
# 版权所有 (c) 1993-2009 微软公司
#
# 这是 Microsoft tcp/ip 用于 Windows 的示例主机文件。
#
# 此文件包含 IP 地址到主机名的映射。每个
# 条目应保留在单个行上。IP 地址应
# 放在第一列中, 后跟相应的主机名。
# IP 地址和主机名应至少由一个
空间.
#
# 此外, 注释 (如这些) 可以插入到单个
# 行或跟随 "#" 符号表示的机器名称。
#
# 例如:
#
#
192.168.125.2 cpcaroot.pantac2008.com
在使用重定向模式的 Vwire 部署中, 我们需要在 PA 设备上刻录一个 L3 接口以获得此功能。接口被分配到 L3-Trust 区域, 并且在最起码的响应页中启用了一个管理配置文件。请注意, 使用的 IP 地址是 192.168.125.2, 这是由于在捕获的门户服务器证书中使用 CN "cpcaroot.pantac2008.com" 而触发了捕获的门户, 因此系统将被重定向到。
另外, 请记住, 重定向主机需要与客户端在同一广播域中, 这样它将相应地响应 arp 请求。如果被捕获的门户重定向接口在客户端广播域之外, 并且通信需要遍历 v 线, 则需要创建一个例外策略, 以允许将此接口注定的通信成为一个固定门户干预
下面是主机的截图, 试图打开一个插槽到www.google.com. 然后, 浏览器将客户端证书提交给 PA 设备, 因为在这种情况下, 我们使用的是客户端证书身份验证而不是 LDAP。随后, 我将浏览器重定向到www.jimmyr.com , 现在显示了网页, CP 已将我标识为 "雷纳多", 每个客户端证书.
以前被认为是未知的 192.168.125.223:
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
IP Vsys 从用户IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 未知 2 5
总计: 1 用户
完成客户端证书身份验证后, PA 现在反映如下内容:
admin@lab-26-PA5050> 显示日志系统方向等于向后
2015/01/27 09:05:58 信息一般一般0用户管理员通过 CLI 登录192.168.125.223
2015/01/27 09:05:58 信息一般认证-su 0 用户 ' admin ' 验证。 来自: 192.168.125.223。
2015/01/27 09:05:40 信息一般一般0为用户成功的固定门户身份验证: 雷纳多 192.168.125.223, vsys1
2015/01/27 09:05:40 信息一般一般0被捕获的门户客户端证书验证成功来自:: ffff: 192.168.125.223。
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
IP Vsys 从用户IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 CP 雷纳多 899 3518
192.168.125.111 vsys1 CP rkalugdan 261 1037
总计: 2 个用户
admin@lab-26-PA5050> 显示会话 id 33571113
会话33571113
c2s 流量:
来源: 192.168.125.223 [vtrust]
dst: 216.58.216。2
原: 6
体育: 51049 dport:80
状态: 活动类型: 流
src 用户: 雷纳多<======================================================></======================================================>
dst 用户︰ 未知
s2c 流量:
来源: 216.58.216.2 [vuntrust]
dst: 192.168.125.223
原: 6
体育:80 dport: 51049
状态: 活动类型: 流
src 用户︰ 未知
dst 用户: 雷纳多
DP: 1
索引 (本地):: 16681
开始时间: 星期二 1月27日 09:05:41 2015
超时: 3600 秒
居住时间: 3580 秒
总字节数 (c2s): 3637
总字节数 (s2c): 9854
layer7 数据包计数 (c2s):10
layer7 数据包计数 (s2c):14
vsys: vsys1
应用: 网页浏览
规则: vwire
结束时要记录的会话: True
会话中的会话: True
由 HA 对等方更新的会话: False
layer7 处理: 启用
已启用 URL 筛选: True
URL 类别: 网络广告
通过 syn cookie 进行会话: False
主机上的会话终止: False
会话遍历隧道: False
被捕获的门户会话: False
入口接口: ethernet1/6
出口接口: ethernet1/4
会话 QoS 规则: N/A (类 4)
结束原因: 未知
下面是使用 Firefox 作为浏览器的 Ubuntu 客户端的客户端证书身份验证示例。我已在火狐的受信任存储区中安装了根 CA 和中级证书, 而客户端证书与 "您的证书" 存储相关联。
这是火狐在用户尝试访问www.jimmyr.com 时呈现客户端证书的情况。
最后, 将原始请求的网站呈现给用户
在下面的日志和 ip 用户映射的 PA CLI 输出:
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
ip Vsys 从用户 IdleTimeout
MaxTimeout (s)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CP雷纳多 893
3561
总: 1 用户
dmin@lab-26-PA5050> 显示日志系统方向相等向后
时间严重性子类型对象 EventID ID 描述
== === == == == == == == === === === == == == == == == == == == == == == == == == == == == == == == == =====
2015/01/27 13:24:07 信息一般一般0接受的键盘-交互式/pam 为管理 fr
192.168.125.111 端口 50672 ssh2
2015/01/27 13:23:45 信息一般一般0用户管理员通过 CLI 登录 192.168.125.1
11
2015/01/27 13:23:44 信息一般认证-su 0 用户 ' admin ' 验证. 来自: 192.168.125
111.
2015/01/27 13:23:11 信息一般一般0固定门户身份验证成功使用
r: 雷纳多在 192.168.125.111, vsys1
2015/01/27 13:23:11 信息一般一般0固定门户客户端证书 authenticatio
n 成功从:: ffff: 192.168.125.111.
下面是使用 Chrome 浏览器的 MacOS 客户端的一个示例。我们分别使用 "钥匙串访问证书" 和 "我的证书" 文件夹复制了相同的证书。
正如您可以再次看到的, PA 正在请求客户端证书身份验证, Chrome 正在按预期显示客户端证书。
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
IP Vsys 从用户 IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 未知 3 6
总计: 1 用户
admin@lab-26-PA5050> 显示用户 ip-用户映射所有
IP Vsys 从用户 IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 CP 雷纳多 899 3585
总计: 1 用户
时间严重性子类型对象 EventID ID 说明
===============================================================================
2015/01/27 13:00:40 信息一般一般0野火更新作业成功用于用户自动更新代理
2015/01/27 13:00:39 信息一般一般0野火包升级自版本<unknown version="">到51969-58674 由自动更新代理</unknown>程序
2015/01/27 13:00:37 信息一般一般0安装野火包: panup-野火-51969-58674. tgz
2015/01/27 13:00:35 信息一般一般0野火版本51969-58674 下载的自动更新代理程序
2015/01/27 13:00:34 信息一般一般0连接到更新服务器: 已成功完成, 由10.46.32.26 启动
2015/01/27 13:00:23 信息一般一般0连接到更新服务器: updates.paloaltonetworks.com 成功完成, 由10.46.32.26 启动
2015/01/27 13:00:21 信息一般一般0连接到更新服务器: updates.paloaltonetworks.com 成功完成, 由10.46.32.26 启动
2015/01/27 13:00:20 信息一般一般0为用户成功的固定门户身份验证: 雷纳多 192.168.125.113, vsys1
2015/01/27 13:00:20 信息一般一般0被捕获的门户客户端证书验证成功来自:: ffff: 192.168.125.113。