Configuration du portail captif en V-Wire (avec authentification RADIUS)

Configuration du portail captif en V-Wire (avec authentification RADIUS)

58244
Created On 09/25/18 17:46 PM - Last Modified 08/23/22 20:40 PM


Resolution


Vue d’ensemble

Le portail captif est utilisé pour créer un mappage utilisateur-IP sur le pare-feu de Palo Alto Networks. Le portail est déclenché en fonction des stratégies de portail captif pour le trafic HTTP et/ou HTTPS uniquement et est déclenché uniquement pour les adresses IP sans mappage utilisateur-IP existant. Pour l'authentification des utilisateurs, une base de données locale peut être utilisée, RADIUS, Kerberos ou serveur LDAP. Une fois identifiés, les stratégies basées sur l'utilisateur peuvent être appliquées au trafic de l'utilisateur. Bien que le portail captif soit le plus couramment utilisé dans un environnement routé de couche 3, ce document décrit les étapes à suivre pour configurer une topologie en V-Wire avec un portail captif en mode de redirection qui s'authentifie sur un serveur RADIUS.

 

image002.png

 

Conditions préalables

Comme illustré ci-dessus, la topologie réseau de cette configuration nécessite deux interfaces physiques configurées pour le V-Wire entrant et sortant. Une troisième interface physique doit être configurée avec une adresse IP et affectée à une zone à l'extérieur du V-Wire. Cette interface L3 sera utilisée pour la redirection captive du portail. Le pare-feu interceptera toutes les sessions utilisateur inconnues qui utilisent http ou HTTPS avec un message de redirection http 302. La redirection est configurée sur un nom d'hôte spécifié qui sera résolu en adresse IP attribuée à l'interface L3. Le décryptage doit être activé pour permettre au pare-feu d'envoyer un message de redirection pour le trafic HTTPS. Le portail captif doit présenter un certificat et doit être approuvé par les utilisateurs finaux (l'AUTORITÉ de certification qui émet le certificat doit être présente dans le magasin racine de confiance sur l'ordinateur client). Les utilisateurs ne recevront aucun avertissement de certificat pour la redirection HTTPS. En outre, le pare-feu va définir un cookie dans le navigateur client par conséquent, l'utilisateur final n'a pas besoin de retaper nom d'utilisateur/mot de passe alors que cookie est valide (la minuterie d'expiration peut être définie dans la configuration du portail captif).

 

Une entrée DNS doit être faite pour l'adresse IP configurée sur l'interface L3. Le nom d'hôte DNS sera utilisé comme nom commun lors de la création du certificat d'Authentification de portail captif et peut être utilisé dans la configuration de la redirection du portail captif. UN serveur RADIUS avec des comptes d'utilisateurs déjà définis doit être en cours d'exécution dans le réseau et configuré pour fonctionner sur les ports 1812 ou 1645.

 

Des informations sur la configuration de RADIUS peuvent être trouvées ici: Comment configurer RADIUS sur le serveur Windows 2008

 

L'authentification RADIUS est envoyée de l'interface de gestion du pare-feu au serveur RADIUS. Si ce trafic RADIUS passe par les ports de données du pare-feu (plan de données), une règle de sécurité doit être créée (si elle n'existe pas déjà) permettant ce trafic.

Si aucune stratégie existante ne nie le trafic intra-zone, une stratégie de sécurité ne sera pas requise pour autoriser le trafic à partir de l'interface L3 utilisée par le portail captif.

 

Partie 1: configurer le portail captif, l'Authentification et les stratégies

 

Configurer le profil de serveur RADIUS

  • Allez à l'onglet Device > Server profils > RADIUS» et de créer le profil de serveur RADIUS. Remplissez le nom du profil, le nom du serveur, l'Adresse IP, le port (1812 ou 1645) et le secret.

RADIUS_server_prof. jpg

 

Configurer le profil d'Authentification

  • Accédez à l'onglet Device > Authentication Profile et ajoutez un nouveau profil
  • Remplissez un nom de profil et ajoutez les utilisateurs qui doivent pouvoir s'authentifier sur le serveur RADIUS dans la liste autoriser
  • Choisissez RADIUS d'Authentification dans le menu déroulant (les options sont None, local DB, RADIUS, LDAP ou Kerberos)
  • Choisissez le profil de serveur qui vient d'être créé pour le serveur RADIUS.

Authentication_CP. jpg

 

Générer un certificat auto-signé ou importer un certificat existant vers le pare-feu

  • Accédez à l'onglet Device > certificats Management > Certificates»
  • Option 1: générer un certificat auto-signé; Utilisez le FQDN, qui sera mappé dans le DNS à l'interface L3 hébergeant le portail captif, comme nom commun pour le certificat; D'Autres champs ne sont pas obligatoires.

          gen_cert2. jpg

  • Option 2: le CSR généré (demande de signature de certificat) sera exporté et signé par une autorité externe, puis importé vers le pare-feu (utilisez le même nom commun que pour l'Option 1)
  • Option 3: importez à la fois le certificat et la clé privée, qui ont été créés par l'Autorité de certification externe.

 

Configurer le portail captif

  • Allez à l'onglet "Device > identification de l'Utilisateur > paramètres du portail captif"
  • Modifier les paramètres du portail captif
  • Cochez la case pour activer le portail captif
  • Sélectionnez le certificat de portail captif précédemment créé ou importé pour le certificat de serveur
  • Sélectionnez le profil d'Authentification précédemment configuré
  • Activer le mode redirection
  • Pour l'hôte de redirection, tapez le nom de domaine complet qui sera traduit en adresse IP L3 de l'interface; Le nom d'hôte doit correspondre au nom usuel utilisé sur le certificat de portail captif
  • Minuterie inactive: durée nécessaire pour effacer la session de portail captif (mappage) si l'utilisateur authentifié est inactif
  • Expiration: durée maximale pendant laquelle la session du portail captif peut être active pour un seul utilisateur; Après cela, le mappage sera supprimé et l'utilisateur devra ré-authentifier
  • Le délai de cookie de session est le cookie de session de temps est valide; Si le navigateur de l'utilisateur présente le cookie au portail captif, il n'est pas nécessaire d'entrer à nouveau les informations d'identification
  • Les options d'itinérance permettent d'utiliser le même cookie lorsque le client est en itinérance (modification de l'adresse IP)

 

Remarque: en mode transparent, le pare-feu emprunte l'identité du site http/https de destination et envoie un message HTTP 401 pour appeler l'authentification. Étant donné que le pare-feu ne possède pas de certificat pour la destination réelle, l'utilisateur recevra toujours un avertissement de certificat. L'Utilisation du mode de redirection est généralement recommandée.

CP_config. jpg

 

Configurez le profil de gestion d'interface et assignez-le à l'interface:

  • Accédez à l'onglet réseau > Network Profiles > interface Mgmt»
  • Le profil de gestion assigné à l'interface L3 nécessite que les «pages de réponse» soient activées:

mgt_prof. jpg

  • Accédez à l' "onglet réseau > interfaces" et sélectionnez l'interface L3 appropriée pour appliquer le profil de gestion de l'Interface:

inter_profile. jpg

 

Configurer les stratégies de portail captifs:

Accédez à la base de règles "onglet stratégies > portail captif". Dans cet exemple, l'authentification des utilisateurs provient de la zone de confiance (Assurez-vous que la zone d'approbation a la case à cocher User-ID activée) et allez à la zone de non-approbation (Internet). Pour le test initial, limitez cette règle à une seule adresse IP ou à un groupe d'utilisateurs. Les utilisateurs (IPS) ne correspondant pas à la stratégie CP ne peuvent pas déclencher la redirection CP. Ne configurez pas le service de redirection pour HTTPS si le décryptage n'est pas activé. L'action configurée est "Web-Form", ce qui signifie que l'utilisateur sera redirigé vers la page du portail captif S'il n'y a pas de mappage pour son adresse IP:

CP_rule. jpg

 

Configurer et ajuster les règles de sécurité basées sur le scénario particulier

  • Accédez à la base de règles «onglet stratégies > sécurité»
  • Assurez-vous que le trafic portail captif est autorisé par les politiques de sécurité; Nous devons nous assurer que les utilisateurs redirigés peuvent atteindre l'interface L3 qui dessert la page du portail; la redirection http est utilisée avec le port 80, tandis que la redirection HTTPS utilise les ports 6080/6081/6082/6083.
  • Assurez-vous que le trafic DNS est autorisé pour les utilisateurs (afin de rediriger vers le travail, l'utilisateur doit d'abord essayer d'accéder au site Web externe)
  • Souvent, il n'est pas nécessaire de créer des stratégies de sécurité supplémentaires si le trafic intra-zone est activé. Les utilisateurs de la zone de confiance seront en mesure d'atteindre le portail captif dans la zone de confiance

 

Partie 2: test du portail captif

  • Confirmez que la règle de stratégie captive sera déclenchée pour un utilisateur particulier à l'Aide de la commande CLI «test CP-Policy-match»; Vérifiez également S'il n'y a pas de mappage utilisateur-IP pour l'adresse IP de l'utilisateur

> test CP-Policy-match source <source_ip>de la confiance à la destination <destination_ip></destination_ip> de</source_ip> non-confiance

> afficher IP de l'utilisateur-utilisateur-mappage IP<ip_address></ip_address>

> afficher IP de l'utilisateur-utilisateur-Mapping-MP IP<ip_address></ip_address>

  • Lors du chargement de sites Web http/https externes, il doit être redirigé vers la page portail captif pour l'authentification. La page portail captif peut être personnalisée (onglet de L'Appareil > pages de réponse).
  • Une fois les informations d'identification appropriées sont entrées (cochée par le serveur RADIUS), il chargera la page initialement demandée. Le pare-feu va créer un mappage utilisateur-IP (la source du mappage sera marquée comme CP):

Portal. jpg

    > afficher l'utilisateur IP-utilisateur-Mapping-MP All

    IP VSys de l'Utilisateur Timeout (sec)

    --------------- ------ ------- -------------------------------- ----------------

    172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>

    172.16.32.1 vsys1 GP Pre-Logon 2588475

    192.168.21.94 vsys1 AD paloaltonetworks\user2 6

    Total : 3 utilisateurs

    *: La sonde WMI a réussi

 

  • Si l'utilisateur a le mappage sur le pare-feu, il peut être effacé à des fins de test et peut également effacer la session portail captif pour un utilisateur avec les commandes CLI suivantes:

    > effacer l'utilisateur-cache IP<ip_address></ip_address>

    > effacer utilisateur-cache-MP IP<ip_address></ip_address>

    > Debug Device-Server Reset captive-portail IP-adresse

 

Liens utiles de dépannage:

 

propriétaire: nmarkovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJZCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language