V 線でのキャプティブポータルの構成 (RADIUS 認証を使用)
Resolution
概要
キャプティブポータルは、パロアルトネットワークファイアウォールでユーザーと IP の間のマッピングを作成するために使用されます。ポータルは、http および/または https トラフィックのみのキャプティブポータルポリシーに基づいてトリガされ、既存のユーザーから ip へのマッピングがない ip アドレスに対してのみトリガされます。ユーザー認証の場合、ローカルデータベースは、RADIUS、Kerberos、または LDAP サーバーを使用できます。特定したら、ユーザーベースのポリシーをユーザーのトラフィックに適用できます。キャプティブポータルは、レイヤ3ルーティング環境で最も一般的に使用されますが、このドキュメントでは、RADIUS サーバーへのリダイレクトモード認証でキャプティブポータルを使用して V 線トポロジを構成する手順について概説します。
前提条件
上記のように、この構成のネットワークトポロジには、受信および送信の V 線用に構成された2つの物理インターフェイスが必要です。3つ目の物理インタフェースは、IP を使用して構成し、V 線の外側のゾーンに割り当てる必要があります。この L3 インタフェースは、キャプティブポータルのリダイレクトに使用されます。http または HTTPS を使用している不明なユーザーセッションは、http 302 リダイレクトメッセージと共にファイアウォールによって傍受されます。リダイレクトは、L3 インターフェイスに割り当てられた IP アドレスに解決される、指定されたホスト名に構成されます。ファイアウォールが https トラフィックのリダイレクトメッセージを送信するためには、復号化を有効にする必要があります。キャプティブポータルは、証明書を提示し、エンドユーザーが信頼する必要があります (証明書を発行する CA は、クライアントコンピュータの信頼されたルートストアに存在する必要があります)。ユーザーは https リダイレクトの証明書の警告を受信しません。また、ファイアウォールは、クライアントのブラウザでクッキーを設定しますので、エンドユーザはクッキーが有効である間はユーザ名/パスワードを再入力する必要はありません (有効期限タイマはキャプティブポータルの設定で設定できます)。
L3 インターフェイスで構成された IP アドレスに対して DNS エントリを作成する必要があります。キャプティブポータル認証証明書の作成時には、DNS ホスト名が共通名として使用され、キャプティブポータルのリダイレクトの構成で使用できます。既に定義されているユーザーアカウントを持つ RADIUS サーバーは、ネットワークで実行され、ポート1812または1645で動作するように構成されている必要があります。
radius の構成に関する情報は、ここで見つけることができます: Windows 2008 サーバーで radius を構成する方法
radius 認証は、ファイアウォール管理インターフェイスから radius サーバーに送信されます。この RADIUS トラフィックがファイアウォールのデータポート (データプレーン) を通過する場合、このトラフィックを許可するセキュリティ規則 (既に存在していない場合) を作成する必要があります。
ゾーン内のトラフィックを拒否する既存のポリシーがない場合、キャプティブポータルで使用される L3 インタフェースからのトラフィックを許可するために、セキュリティポリシーは必要ありません。
パート 1: キャプティブポータル、認証、およびポリシーを構成する
RADIUS サーバープロファイルを構成する
- [デバイス] タブ > [サーバープロファイル] > [radius] に移動し、radius サーバープロファイルを作成します。プロファイル名、サーバー名、IP アドレス、ポート (1812 または 1645) とシークレットを入力します。
認証プロファイルを構成する
- [デバイス] タブ > [認証プロファイル] に移動し、新しいプロファイルを追加します。
- プロファイル名を入力し、許可リストの RADIUS サーバーに対して認証できるユーザーを追加します。
- ドロップダウンメニューから [認証半径] を選択します (オプションは [なし]、[ローカル DB]、[radius]、[LDAP] または [Kerberos])
- RADIUS サーバー用に作成されたサーバープロファイルを選択します。
自己署名証明書を生成するか、既存の証明書をファイアウォールにインポートする
- [デバイス] タブ > [証明書の管理] > [証明書] に移動します。
- オプション 1: 自己署名証明書を生成します。証明書の共通名として、DNS 内でキャプティブポータルをホストする L3 インターフェイスにマップされる FQDN を使用します。他のフィールドは必須ではありません。
- オプション 2: 生成された CSR (証明書の署名要求) は、外部機関によってエクスポートおよび署名され、ファイアウォールに戻されます (オプション1と同じ共通名を使用します)。
- オプション 3: 外部 CA によって作成された証明書と秘密キーの両方をインポートします。
キャプティブポータルの構成
- [デバイス] タブの [ユーザー id] > [キャプティブポータルの設定] に移動します。
- キャプティブポータルの設定を編集する
- ボックスをオンにしてキャプティブポータルを有効にする
- サーバー証明書の以前に作成またはインポートされたキャプティブポータル証明書を選択します
- 以前に構成した認証プロファイルを選択する
- リダイレクトモードを有効にする
- リダイレクトホストの場合は、インターフェイス L3 IP アドレスに変換される FQDN を入力します。ホスト名は、キャプティブポータル証明書で使用される共通名と一致する必要があります。
- アイドルタイマ: 認証されたユーザーが非アクティブな場合にキャプティブポータルセッション (マッピング) をクリアするために必要な時間
- 有効期限: 1 人のユーザーに対してキャプティブポータルセッションをアクティブにできる最大時間。この後、マッピングが削除され、ユーザーが再認証する必要があります
- セッションクッキータイムアウトは、セッションクッキーが有効である時間です。ユーザーのブラウザが cookie をキャプティブポータルに提示した場合、資格情報を再度入力する必要はありません
- ローミングオプションにより、クライアントがローミング中に同じ cookie を使用できるようになります (IP アドレスの変更)。
注:透過的モードでは、ファイアウォールは宛先の http/https web サイトを偽装し、http 401 メッセージを送信して認証を呼び出します。ファイアウォールには、実際の送信先の証明書がないため、ユーザーは常に証明書の警告を受け取ります。通常、リダイレクトモードを使用することをお勧めします。
インターフェイス管理プロファイルを構成し、インターフェイスに割り当てます。
- [ネットワーク] タブ > [ネットワークプロファイル] > [インターフェイス管理] に移動します。
- L3 インタフェースに割り当てられた管理プロファイルには、"応答ページ" が有効になっている必要があります。
- 「ネットワークタブ > インタフェース」に移動し、適切な L3 インタフェースを選択してインタフェース管理プロファイルを適用します。
キャプティブポータルポリシーを構成する:
[ポリシー] タブ > [キャプティブポータル] ルールベースに移動します。この例では、ユーザーの認証は、信頼ゾーン (信頼ゾーンにユーザー ID チェックボックスが有効になっていることを確認してください) から、untrust ゾーン (インターネット) にアクセスしています。最初のテストでは、このルールを1つの IP またはユーザーのグループに制限します。cp のポリシーに一致しないユーザー (IPs) は、cp のリダイレクトをトリガすることはできません。復号化が有効になっていない場合は、https サービスのリダイレクトを構成しないでください。構成されたアクションは "web フォーム" であり、IP アドレスのマッピングが存在しない場合は、ユーザーがキャプティブポータルページにリダイレクトされることを意味します。
特定のシナリオに基づいてセキュリティルールを構成および調整する
- [ポリシー] タブ > [セキュリティ] ルールベースに移動します。
- キャプティブポータルトラフィックがセキュリティポリシーによって許可されていることを確認します。リダイレクトされるユーザーが、ポータルページを提供する L3 インターフェイスに到達できるようにする必要があります。http リダイレクトはポート80で使用され、https リダイレクトはポート6080/6081/6082/6083 を使用しています。
- DNS トラフィックがユーザーに許可されていることを確認します (リダイレクトが機能するためには、ユーザーが最初に外部 web サイトにアクセスしようとする必要があります)。
- ゾーン内のトラフィックが有効になっている場合は、追加のセキュリティポリシーを作成する必要はありません。信頼ゾーンのユーザーは、信頼ゾーンのキャプティブポータルに到達できるようになります。
パート 2: キャプティブポータルをテストする
- "テスト cp-ポリシー一致" CLI コマンドを使用して、特定のユーザーに対してキャプティブポリシールールがトリガされることを確認します。また、ユーザーの ip アドレスに対するユーザーと ip のマッピングがないかどうかを確認します。
> cp のテスト-ポリシー-<source_ip>信頼から untrust <destination_ip></destination_ip>宛先へ</source_ip>のソースの一致
> ユーザー ip の表示-ユーザーマッピング ip<ip_address></ip_address>
> ユーザーの ip を表示する-ユーザーマッピング-mp の ip<ip_address></ip_address>
- 外部の http/https web サイトをロードするときは、認証のためにキャプティブポータルページにリダイレクトする必要があります。キャプティブポータルページはカスタマイズできます ([デバイス] タブ > [応答ページ])。
- 適切な資格情報を入力すると (RADIUS サーバーによってチェックされます)、最初に要求されたページが読み込まれます。ファイアウォールは、ユーザーから IP へのマッピングを作成します (マッピングのソースは CP としてマークされます)。
> ユーザーの ip を表示する-ユーザーマッピング-mp のすべて
ユーザータイムアウト (秒) からの IP Vsys
--------------- ------ ------- -------------------------------- ----------------
172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>
172.16.32.1 vsys1 GP 事前ログオン2588475
192.168.21.94 vsys1 広告 paloaltonetworks\user2 6
合計: 3 ユーザー
*: WMI プローブが成功しました
- ユーザーがファイアウォール上のマッピングを持っている場合は、テスト目的でクリアでき、次の CLI コマンドを使用しているユーザーのキャプティブポータルセッションをクリアすることもできます。
> ユーザーキャッシュ ip のクリア<ip_address></ip_address>
> クリアユーザーキャッシュ-mp の ip<ip_address></ip_address>
> デバイスのデバッグ-サーバーのリセットキャプティブ-ポータル ip アドレス
便利なトラブルシューティングリンク:
- キャプティブポータルのトラブルシューティング
- キャプティブポータルのリダイレクトページの問題のトラブルシューティング
- リダイレクトループ内のキャプティブポータルページ
- キャプティブポータルコンフォートページは、暗号化されたサイトを訪問するときに表示され
所有者: nmarkovic