Konfiguration von Captive-Portal in V-Wire (mit RADIUS-Authentifizierung)

Konfiguration von Captive-Portal in V-Wire (mit RADIUS-Authentifizierung)

58236
Created On 09/25/18 17:46 PM - Last Modified 08/23/22 20:40 PM


Resolution


Übersicht

Das Captive-Portal wird verwendet, um eine Benutzer-zu-IP-Mappings auf der Palo Alto Networks Firewall zu erstellen. Das Portal wird nur auf der Grundlage der Captive-Portal-Richtlinien für http und/oder HTTPS Traffic ausgelöst und wird nur für die IP-Adressen ohne bestehende User-to-IP-Mapping ausgelöst. Für die Benutzerauthentifizierung kann eine lokale Datenbank verwendet werden, RADIUS, Kerberos oder LDAP-Server. Nach der Identifizierung können benutzerbasierte Richtlinien auf den Datenverkehr des Nutzers angewendet werden. Während Captive Portal am häufigsten in einer Layer 3-verrosteten Umgebung verwendet wird, skizziert dieses Dokument die Schritte, um eine V-Wire-Topologie mit Captive-Portal im Redirect-Modus zu konfigurieren, die sich auf einen RADIUS-Server authentifiziert.

 

image002.png

 

Voraussetzungen

Wie oben dargestellt, benötigt die Netztopologie für diese Konfiguration zwei physikalische Schnittstellen, die für den ein-und ausgehenden V-Draht konfiguriert sind. EINE dritte physikalische Schnittstelle sollte mit einer IP konfiguriert und einer Zone außerhalb des V-Drahtes zugeordnet werden. Diese L3-Schnittstelle wird für die Captive-Portal-Umleitung verwendet. Die Firewall wird alle unbekannten Benutzersitzungen abfangen, die HTTP oder HTTPS mit einer HTTP 302 Redirect-Nachricht verwenden. Die Umleitung ist auf einen bestimmten Hostnamen konfiguriert, der auf die der L3-Schnittstelle zugewiesene IP-Adresse aufgelöst wird. Die Entschlüsselung muss aktiviert werden, damit die Firewall eine Redirect-Nachricht für HTTPS Traffic sendet. Das Captive-Portal sollte ein Zertifikat vorlegen und sollte von den Endverbrauchern vertraut werden (CA die Ausstellung des Zertifikats sollte in Trusted Root Store auf dem Client-Rechner vorhanden sein). Die Nutzer erhalten keine Zertifikats Warnung für HTTPS-Umleitung. Außerdem wird die Firewall ein Cookie im Client-Browser setzen, so dass der Endbenutzer nicht mehr Benutzername/Passwort eingeben muss, während Cookie gültig ist (Ablauf Timer kann in der Konfiguration von Captive Portal eingestellt werden).

 

Für die auf der L3-Schnittstelle konfigurierte IP-Adresse sollte ein DNS-Eintrag gemacht werden. Der DNS-Hostname wird als gemeinsamer Name bei der Erstellung des Captive-Portal-Authentifizierungs Zertifikats verwendet und kann in der Konfiguration für die Captive-Portal-Umleitung verwendet werden. EIN RADIUS-Server mit bereits definierten Benutzerkonten muss im Netzwerk laufen und für den Betrieb auf den Ports 1812 oder 1645 konfiguriert werden.

 

Informationen zur Konfiguration RADIUS finden Sie hier: wie man Radius auf Windows 2008 Server konfiguriert

 

Die RADIUS-Authentifizierung wird von der Firewall-Management-Schnittstelle auf den RADIUS-Server gesendet. Wenn dieser RADIUS-Verkehr durch die Firewall-Datenanschlüsse (DatenEbene) führt, sollte eine Sicherheitsregel erstellt werden (wenn nicht bereits vorhanden), die diesen Verkehr zulässt.

Wenn es keine bestehende Politik gibt, die den innerregionalen Verkehr leugnet, wird eine Sicherheitspolitik nicht erforderlich sein, um den Verkehr von der L3-Schnittstelle zu ermöglichen, die von Captive Portal genutzt wird

 

Teil 1: Konfiguration von Captive Portal, Authentifizierung und RichtLinien

 

Das RADIUS-Server-Profil konfigurieren

  • Gehen Sie zum "Device Tab > Server Profile > RADIUS" und erstellen Sie das RADIUS-Server-Profil. Füllen Sie den profilNamen, den serverNamen, die IP-Adresse, den Port (1812 oder 1645) und das Secret aus.

RADIUS_server_prof. jpg

 

Konfigurieren Sie das Authentifizierungs Profil

  • Gehen Sie zum "Device Tab > Authentifizierungs Profil" und fügen Sie ein neues Profil hinzu
  • Füllen Sie einen ProfilNamen aus und fügen Sie die Benutzer hinzu, die in der Lage sein sollten, sich gegen den RADIUS-Server in der Allow-Liste zu authentifizieren
  • Wählen Sie den Authentifizierungs RADIUS aus dem Drop-Down-Menü (Optionen sind keine, lokale DB, RADIUS, LDAP oder Kerberos)
  • Wählen Sie das Serverprofil, das gerade für den RADIUS-Server erstellt wurde.

Authentication_CP. jpg

 

Generieren Sie ein selbst signiertes Zertifikat oder importieren Sie ein bestehendes Zertifikat an die Firewall

  • Gehen Sie zum "Device Tab > Zertifikats Management > Zertifikate"
  • Option 1: Generieren Sie ein selbst signiertes Zertifikat; Verwenden Sie das FQDN, das in DNS abgebildet wird, auf die L3-Schnittstelle, die das Captive-Portal beherbergt, als den GemeinSamen Namen für das Zertifikat; Andere Felder sind nicht zwingend.

          gen_cert2. jpg

  • Option 2: das generierte CSR (Zertifikats Unterschriften Anfrage) wird von externer Behörde exportiert und unterzeichnet und dann wieder in die Firewall importiert (verwenden Sie den gleichen GemeinSamen Namen wie für Option 1)
  • Option 3: Importieren Sie sowohl das Zertifikat als auch den privaten Schlüssel, die von der externen CA erstellt wurden.

 

Captive Portal konfigurieren

  • Gehen Sie zum "Device Tab > BenutzerIdentifikation > Captive Portal Einstellungen"
  • Bearbeiten Sie die Gefangenen Portal Einstellungen
  • Klicken Sie auf das Kästchen, um Captive Portal zu aktivieren
  • Wählen Sie das zuvor erstellte oder importierte Captive Portal Zertifikat für das Server-Zertifikat
  • Wählen Sie das zuvor konfigurierte Authentifizierungs Profil
  • Redirect-Modus aktivieren
  • Für den Redirect-Host Tippen Sie den FQDN, der in die Schnittstelle L3 IP-Adresse übersetzt wird; Der Hostname muss mit dem GemeinSamen Namen übereinstimmen, der auf dem Captive Portal Zertifikat verwendet wird
  • Leerlauf: die Zeit, die benötigt wird, um die Captive-Portal-Session (Mapping) zu löschen, wenn der authentifizierte Benutzer inaktiv ist
  • Ablauf: die maximale Zeit, in der die Captive-Portal-Session für einen einzelnen Benutzer aktiv sein kann; Danach wird die Kartierung entfernt und der Benutzer muss sich erneut authentifizieren
  • Session Cookie Timeout ist das Zeit-Session-Cookie ist gültig; Wenn der Browser des Nutzers das Cookie dem Captive-Portal vorstellt, müssen Sie keine Berechtigungen mehr eingeben.
  • Roaming-Optionen ermöglichen es, das gleiche Cookie zu verwenden, wenn der Client rorollt (Änderung der IP-Adresse)

 

Hinweis: im transparenten Modus verkörpert die Firewall die Destination HTTP/HTTPS Website und sendet HTTP 401-Nachricht, um die Authentifizierung anzurufen. Da die Firewall kein Zertifikat für das eigentliche Reiseziel hat, erhält der Nutzer immer eine Zertifikats Warnung. Die Nutzung des Redirect-Modus ist generell empfehlenswert.

CP_config. jpg

 

Konfigurieren Sie das Interface-Management-Profil und weisen Sie es der SchnittStelle zu:

  • Gehen Sie zum "Netzwerk Tab > Netzwerk Profile > Interface Mgmt"
  • Das Management Profil, das der L3-Schnittstelle zugeordnet ist, muss "AntwortSeiten" aktiviert haben:

mgt_prof. jpg

  • Gehen Sie zum "Netzwerk Tab > Interfaces" und wählen Sie die passende L3-Schnittstelle, um das Interface-Management-Profil anzuwenden:

inter_profile. jpg

 

Konfiguration von Captive-Portal Richtlinien:

Gehen Sie auf die Regel Basis "RichtLinien > Captive Portal". In diesem Beispiel kommt die Authentifizierung von Benutzern aus der Treuhand Zone (Vergewissern Sie sich, dass die Treuhand Zone die Benutzer-ID-CheckBox aktiviert hat) und gehen Sie in die Untrust Zone (Internet). Für den ersten Test beschränken Sie diese Regel auf eine einzelne IP oder eine Gruppe von Benutzern. Benutzer (IPs), die nicht der CP-Richtlinie entsprechen, können die CP-Umleitung nicht auslösen. Konfigurieren Sie die Umleitung für HTTPS-Dienste nicht, wenn die Entschlüsselung nicht aktiviert ist. Die konfigurierte Aktion ist "Web-Form", was bedeutet, dass der Benutzer auf die Captive-Portal-Seite umgeleitet wird, wenn es keine Kartierung für seine IP-Adresse gibt:

CP_rule. jpg

 

Konfiguration und Anpassung der SicherheitsRegeln auf der Grundlage des jeweiligen Szenarios

  • Gehen Sie auf die Regel Basis "RichtLinien > Sicherheit"
  • Vergewissern Sie sich, dass der Flugverkehr in Gefangenschaft durch Sicherheitsrichtlinien erlaubt ist; Wir müssen sicherstellen, dass die umgeleiteten Benutzer die L3-Schnittstelle erreichen können, die die Portalseite bedient; HTTP-Umleitung wird mit Port 80 verwendet, während HTTPS-Umleitung Ports 6080/6081/6082/6083 nutzt.
  • Vergewissern Sie sich, dass der DNS-Verkehr für die Benutzer erlaubt ist (damit die Umleitung funktioniert, muss der Nutzer zunächst versuchen, auf externe Website zuzugreifen)
  • Oft ist es nicht notwendig, zusätzliche Sicherheitsrichtlinien zu erstellen, wenn der Inner zonliche Verkehr aktiviert ist. Nutzer aus der Treuhand Zone können das Captive-Portal in der Treuhand Zone erreichen

 

Teil 2: Testen Sie das Captive Portal

  • Bestätigen Sie, dass die Gefangene Policy-Regel für einen bestimmten Benutzer mit dem Befehl "Test CP-Policy-Match" CLI ausgelöst wird; Prüfen Sie auch, ob es keine User-to-IP-Kartierung für die IP-Adresse des Nutzers gibt.

> Test CP-Policy-Match-Quelle <source_ip>vom Vertrauen zum Untrust <destination_ip></destination_ip> -Reiseziel</source_ip>

> Benutzer-IP-User-Mapping IP anzeigen<ip_address></ip_address>

> Benutzer-IP-User-Mapping-MP IP anzeigen<ip_address></ip_address>

  • Beim Laden externer HTTP/HTTPS-Websites sollte es zur Authentifizierung auf die Captive-Portal-Seite umgeleitet werden. Die Seite "Captive Portal" kann individuell angepasst werden (Geräte Tab > AntwortSeiten).
  • Sobald die entsprechenden Berechtigungen eingegeben sind (vom RADIUS-Server geprüft), wird die ursprünglich angeforderte Seite geladen. Die Firewall wird User-to-IP-Mapping erstellen (Quelle der Kartierung wird als CP markiert):

Portal. jpg

    > Benutzer-IP-User-Mapping-MP alle anzeigen

    IP Vsys von User Timeout (sec)

    --------------- ------ ------- -------------------------------- ----------------

    172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>

    172.16.32.1 vsys1 GP Pre-Logon 2588475

    192.168.21.94 vsys1 AD paloaltonetworks\user2 6

    Gesamt: 3 Benutzer

    *: WMI-Sonde gelungen

 

  • Wenn der Benutzer das Mapping auf der Firewall hat, kann es zu Testzwecken gelöscht werden und kann auch die Captive-Portal-Session für einen Benutzer mit den folgenden CLI-Befehlen löschen:

    > Clear User-Cache IP<ip_address></ip_address>

    > Clear User-Cache-MP IP<ip_address></ip_address>

    > Debug Device-Server Reset Captive-Portal IP-Adresse

 

Nützliche Troubleshooting Links:

 

Besitzer: nmarkovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language