V 線でのキャプティブポータルの構成 (RADIUS 認証を使用)

V 線でのキャプティブポータルの構成 (RADIUS 認証を使用)

58250
Created On 09/25/18 17:46 PM - Last Modified 08/23/22 20:40 PM


Resolution


概要

キャプティブポータルは、パロアルトネットワークファイアウォールでユーザーと IP の間のマッピングを作成するために使用されます。ポータルは、http および/または https トラフィックのみのキャプティブポータルポリシーに基づいてトリガされ、既存のユーザーから ip へのマッピングがない ip アドレスに対してのみトリガされます。ユーザー認証の場合、ローカルデータベースは、RADIUS、Kerberos、または LDAP サーバーを使用できます。特定したら、ユーザーベースのポリシーをユーザーのトラフィックに適用できます。キャプティブポータルは、レイヤ3ルーティング環境で最も一般的に使用されますが、このドキュメントでは、RADIUS サーバーへのリダイレクトモード認証でキャプティブポータルを使用して V 線トポロジを構成する手順について概説します。

 

image002.png

 

前提条件

上記のように、この構成のネットワークトポロジには、受信および送信の V 線用に構成された2つの物理インターフェイスが必要です。3つ目の物理インタフェースは、IP を使用して構成し、V 線の外側のゾーンに割り当てる必要があります。この L3 インタフェースは、キャプティブポータルのリダイレクトに使用されます。http または HTTPS を使用している不明なユーザーセッションは、http 302 リダイレクトメッセージと共にファイアウォールによって傍受されます。リダイレクトは、L3 インターフェイスに割り当てられた IP アドレスに解決される、指定されたホスト名に構成されます。ファイアウォールが https トラフィックのリダイレクトメッセージを送信するためには、復号化を有効にする必要があります。キャプティブポータルは、証明書を提示し、エンドユーザーが信頼する必要があります (証明書を発行する CA は、クライアントコンピュータの信頼されたルートストアに存在する必要があります)。ユーザーは https リダイレクトの証明書の警告を受信しません。また、ファイアウォールは、クライアントのブラウザでクッキーを設定しますので、エンドユーザはクッキーが有効である間はユーザ名/パスワードを再入力する必要はありません (有効期限タイマはキャプティブポータルの設定で設定できます)。

 

L3 インターフェイスで構成された IP アドレスに対して DNS エントリを作成する必要があります。キャプティブポータル認証証明書の作成時には、DNS ホスト名が共通名として使用され、キャプティブポータルのリダイレクトの構成で使用できます。既に定義されているユーザーアカウントを持つ RADIUS サーバーは、ネットワークで実行され、ポート1812または1645で動作するように構成されている必要があります。

 

radius の構成に関する情報は、ここで見つけることができます: Windows 2008 サーバーで radius を構成する方法

 

radius 認証は、ファイアウォール管理インターフェイスから radius サーバーに送信されます。この RADIUS トラフィックがファイアウォールのデータポート (データプレーン) を通過する場合、このトラフィックを許可するセキュリティ規則 (既に存在していない場合) を作成する必要があります。

ゾーン内のトラフィックを拒否する既存のポリシーがない場合、キャプティブポータルで使用される L3 インタフェースからのトラフィックを許可するために、セキュリティポリシーは必要ありません。

 

パート 1: キャプティブポータル、認証、およびポリシーを構成する

 

RADIUS サーバープロファイルを構成する

  • [デバイス] タブ > [サーバープロファイル] > [radius] に移動し、radius サーバープロファイルを作成します。プロファイル名、サーバー名、IP アドレス、ポート (1812 または 1645) とシークレットを入力します。

RADIUS_server_prof

 

認証プロファイルを構成する

  • [デバイス] タブ > [認証プロファイル] に移動し、新しいプロファイルを追加します。
  • プロファイル名を入力し、許可リストの RADIUS サーバーに対して認証できるユーザーを追加します。
  • ドロップダウンメニューから [認証半径] を選択します (オプションは [なし]、[ローカル DB]、[radius]、[LDAP] または [Kerberos])
  • RADIUS サーバー用に作成されたサーバープロファイルを選択します。

Authentication_CP

 

自己署名証明書を生成するか、既存の証明書をファイアウォールにインポートする

  • [デバイス] タブ > [証明書の管理] > [証明書] に移動します。
  • オプション 1: 自己署名証明書を生成します。証明書の共通名として、DNS 内でキャプティブポータルをホストする L3 インターフェイスにマップされる FQDN を使用します。他のフィールドは必須ではありません。

          gen_cert2

  • オプション 2: 生成された CSR (証明書の署名要求) は、外部機関によってエクスポートおよび署名され、ファイアウォールに戻されます (オプション1と同じ共通名を使用します)。
  • オプション 3: 外部 CA によって作成された証明書と秘密キーの両方をインポートします。

 

キャプティブポータルの構成

  • [デバイス] タブの [ユーザー id] > [キャプティブポータルの設定] に移動します。
  • キャプティブポータルの設定を編集する
  • ボックスをオンにしてキャプティブポータルを有効にする
  • サーバー証明書の以前に作成またはインポートされたキャプティブポータル証明書を選択します
  • 以前に構成した認証プロファイルを選択する
  • リダイレクトモードを有効にする
  • リダイレクトホストの場合は、インターフェイス L3 IP アドレスに変換される FQDN を入力します。ホスト名は、キャプティブポータル証明書で使用される共通名と一致する必要があります。
  • アイドルタイマ: 認証されたユーザーが非アクティブな場合にキャプティブポータルセッション (マッピング) をクリアするために必要な時間
  • 有効期限: 1 人のユーザーに対してキャプティブポータルセッションをアクティブにできる最大時間。この後、マッピングが削除され、ユーザーが再認証する必要があります
  • セッションクッキータイムアウトは、セッションクッキーが有効である時間です。ユーザーのブラウザが cookie をキャプティブポータルに提示した場合、資格情報を再度入力する必要はありません
  • ローミングオプションにより、クライアントがローミング中に同じ cookie を使用できるようになります (IP アドレスの変更)。

 

注:透過的モードでは、ファイアウォールは宛先の http/https web サイトを偽装し、http 401 メッセージを送信して認証を呼び出します。ファイアウォールには、実際の送信先の証明書がないため、ユーザーは常に証明書の警告を受け取ります。通常、リダイレクトモードを使用することをお勧めします。

CP_config

 

インターフェイス管理プロファイルを構成し、インターフェイスに割り当てます。

  • [ネットワーク] タブ > [ネットワークプロファイル] > [インターフェイス管理] に移動します。
  • L3 インタフェースに割り当てられた管理プロファイルには、"応答ページ" が有効になっている必要があります。

mgt_prof

  • 「ネットワークタブ > インタフェース」に移動し、適切な L3 インタフェースを選択してインタフェース管理プロファイルを適用します。

inter_profile

 

キャプティブポータルポリシーを構成する:

[ポリシー] タブ > [キャプティブポータル] ルールベースに移動します。この例では、ユーザーの認証は、信頼ゾーン (信頼ゾーンにユーザー ID チェックボックスが有効になっていることを確認してください) から、untrust ゾーン (インターネット) にアクセスしています。最初のテストでは、このルールを1つの IP またはユーザーのグループに制限します。cp のポリシーに一致しないユーザー (IPs) は、cp のリダイレクトをトリガすることはできません。復号化が有効になっていない場合は、https サービスのリダイレクトを構成しないでください。構成されたアクションは "web フォーム" であり、IP アドレスのマッピングが存在しない場合は、ユーザーがキャプティブポータルページにリダイレクトされることを意味します。

CP_rule

 

特定のシナリオに基づいてセキュリティルールを構成および調整する

  • [ポリシー] タブ > [セキュリティ] ルールベースに移動します。
  • キャプティブポータルトラフィックがセキュリティポリシーによって許可されていることを確認します。リダイレクトされるユーザーが、ポータルページを提供する L3 インターフェイスに到達できるようにする必要があります。http リダイレクトはポート80で使用され、https リダイレクトはポート6080/6081/6082/6083 を使用しています。
  • DNS トラフィックがユーザーに許可されていることを確認します (リダイレクトが機能するためには、ユーザーが最初に外部 web サイトにアクセスしようとする必要があります)。
  • ゾーン内のトラフィックが有効になっている場合は、追加のセキュリティポリシーを作成する必要はありません。信頼ゾーンのユーザーは、信頼ゾーンのキャプティブポータルに到達できるようになります。

 

パート 2: キャプティブポータルをテストする

  • "テスト cp-ポリシー一致" CLI コマンドを使用して、特定のユーザーに対してキャプティブポリシールールがトリガされることを確認します。また、ユーザーの ip アドレスに対するユーザーと ip のマッピングがないかどうかを確認します。

> cp のテスト-ポリシー-<source_ip>信頼から untrust <destination_ip></destination_ip>宛先へ</source_ip>のソースの一致

> ユーザー ip の表示-ユーザーマッピング ip<ip_address></ip_address>

> ユーザーの ip を表示する-ユーザーマッピング-mp の ip<ip_address></ip_address>

  • 外部の http/https web サイトをロードするときは、認証のためにキャプティブポータルページにリダイレクトする必要があります。キャプティブポータルページはカスタマイズできます ([デバイス] タブ > [応答ページ])。
  • 適切な資格情報を入力すると (RADIUS サーバーによってチェックされます)、最初に要求されたページが読み込まれます。ファイアウォールは、ユーザーから IP へのマッピングを作成します (マッピングのソースは CP としてマークされます)。

ポータル .jpg

    > ユーザーの ip を表示する-ユーザーマッピング-mp のすべて

    ユーザータイムアウト (秒) からの IP Vsys

    --------------- ------ ------- -------------------------------- ----------------

    172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>

    172.16.32.1 vsys1 GP 事前ログオン2588475

    192.168.21.94 vsys1 広告 paloaltonetworks\user2 6

    合計: 3 ユーザー

    *: WMI プローブが成功しました

 

  • ユーザーがファイアウォール上のマッピングを持っている場合は、テスト目的でクリアでき、次の CLI コマンドを使用しているユーザーのキャプティブポータルセッションをクリアすることもできます。

    > ユーザーキャッシュ ip のクリア<ip_address></ip_address>

    > クリアユーザーキャッシュ-mp の ip<ip_address></ip_address>

    > デバイスのデバッグ-サーバーのリセットキャプティブ-ポータル ip アドレス

 

便利なトラブルシューティングリンク:

 

所有者: nmarkovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJZCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language