在 V 线中配置固定门户 (带 RADIUS 身份验证)
Resolution
概述
捕获的门户用于在帕洛阿尔托网络防火墙上创建用户到 IP 的映射。门户是基于 http 和/或 https 通信的固定门户策略触发的, 仅针对没有现有用户到 IP 映射的 ip 地址触发。对于用户身份验证, 可以使用本地数据库、RADIUS、Kerberos 或 LDAP 服务器。一旦确定, 基于用户的策略可以应用于用户的通信量。虽然在3层路由环境中最常用的是固定门户, 但本文档概述了在重定向模式身份验证到 RADIUS 服务器时, 配置带有固定门户的 V 线拓扑的步骤。
系统必备组件
如上所示, 此配置的网络拓扑需要为入站和出站 V 线配置两个物理接口。第三个物理接口应配置为 IP, 并分配给 V 线以外的区域。此 L3 接口将用于捕获的门户重定向。防火墙将拦截在 http 302 重定向消息中使用 http 或 HTTPS 的任何未知用户会话。重定向配置为指定的主机名, 将解析为分配给 L3 接口的 IP 地址。需要启用解密才能使防火墙为 https 通信发送重定向消息。被捕获的门户应该出示证书, 并且最终用户应该信任 (颁发证书的 CA 应该存在于客户端计算机上的受信任根存储中)。用户将不会收到任何用于 https 重定向的证书警告。此外, 防火墙将在客户端浏览器中设置 cookie 因此, 最终用户不需要在 cookie 有效时重新键入用户名/密码 (过期计时器可以在固定门户配置中设置)。
应为在 L3 接口上配置的 IP 地址进行 DNS 输入。在创建固定门户身份验证证书时, DNS 主机名将用作公用名称, 并可用于用于固定门户重定向的配置中。已定义用户帐户的 RADIUS 服务器必须在网络中运行, 并配置为在端口1812或1645上操作。
有关配置 radius 的信息, 可以在这里找到:如何在 Windows 2008 服务器上配置 radius
radius 身份验证从防火墙管理接口发送到 radius 服务器。如果此 RADIUS 通信通过防火墙数据端口 (数据平面), 则应创建安全规则 (如果尚未存在) 允许此通信。
如果没有现有的策略拒绝区域内通信, 则不需要安全策略来允许由 L3 接口使用的通信来自固定门户。
1部分: 配置固定门户、身份验证和策略
配置 RADIUS 服务器配置文件
- 转到 "设备选项卡 > 服务器配置文件 > 半径" 并创建 radius 服务器配置文件。填写配置文件名称、服务器名称、IP 地址、端口 (1812 或 1645) 和机密。
配置身份验证配置文件
- 转到 "设备选项卡 > 身份验证配置文件" 并添加新配置文件
- 填写配置文件名称, 并添加应该能够对 "允许" 列表中的 RADIUS 服务器进行身份验证的用户
- 从下拉菜单中选择 "身份验证半径" (选项为 None、本地 DB、RADIUS、LDAP 或 Kerberos)
- 选择刚刚为 RADIUS 服务器创建的服务器配置文件。
生成自签名证书或将现有证书导入防火墙
- 转到 "设备选项卡 > 证书管理 > 证书"
- 选项 1: 生成自签名证书;使用将在 DNS 中映射到驻留该固定门户的 L3 接口的 FQDN 作为证书的公用名称;其他字段不是必需的。
- 选项 2: 生成的 CSR (证书签名请求) 将由外部颁发机构导出和签名, 然后导入回防火墙 (使用与选项1相同的通用名称)
- 选项 3: 导入证书和私钥, 这些密钥是由外部 CA 创建的。
配置固定门户
- 转到 "设备选项卡 > 用户标识 > 固定门户设置"
- 编辑固定门户设置
- 选中该框以启用固定门户
- 为服务器证书选择以前创建或导入的固定门户证书
- 选择以前配置的身份验证配置文件
- 启用重定向模式
- 对于重定向主机, 键入将被转换为接口 L3 IP 地址的 FQDN;主机名必须与在固定门户证书上使用的公用名称匹配
- 空闲计时器: 如果经过身份验证的用户处于非活动状态, 则清除被捕获的门户会话 (映射) 所需的时间量
- 到期时间: 对于单个用户来说, 被捕获的门户会话可以处于活动状态的最长时期;在此之后, 映射将被删除, 用户将不得不重新验证
- 会话 cookie 超时是会话 cookie 有效的时间。如果用户的浏览器向被捕获的门户显示 cookie, 则不需要再次输入凭据
- 漫游选项允许在客户端漫游时使用相同的 cookie (更改 IP 地址)
注意:在透明模式下, 防火墙正在模拟目标 http/https 网站, 并发送 http 401 消息以调用身份验证. 由于防火墙没有实际目标的证书, 因此用户总是会收到证书警告。通常建议使用重定向模式。
配置接口管理配置文件并将其分配给接口:
- 转到 "网络选项卡 > 网络配置文件 > 接口管理"
- 分配给 L3 接口的管理配置文件需要启用 "响应页":
- 转到 "网络选项卡 > 接口", 然后选择适当的 L3 接口来应用接口管理配置文件:
配置固定门户策略:
转到 "策略选项卡 > 固定门户" 规则库。在此示例中, 身份验证用户来自信任区域 (请确保信任区域已启用用户 ID 复选框) 并前往不信任区域 (internet)。对于初始测试, 请将此规则限制为单个 IP 或一组用户。不匹配 cp 策略的用户 (IPs) 无法触发 cp 重定向。如果未启用解密, 则不要为 https 服务配置重定向。配置的操作是 "web 窗体", 这意味着如果没有其 IP 地址的映射, 用户将被重定向到被捕获的门户页面:
根据特定方案配置和调整安全规则
- 转到 "策略选项卡 > 安全" 规则库
- 确保安全策略允许捕获的门户通信量;我们需要确保被重定向的用户能够到达服务于门户页面的 L3 接口;http 重定向与端口80一起使用, 而 https 重定向使用端口 6080/6081/6082/6083。
- 确定允许用户使用 DNS 通信 (为了使重定向工作, 用户必须首先尝试访问外部网站)
- 通常, 如果启用了区域内通信, 则不需要创建任何附加的安全策略。来自信任区域的用户将能够到达信任区域中的固定门户
第2部分: 测试固定门户
- 确认将使用 "测试 cp 策略匹配" CLI 命令为特定用户触发捕获策略规则;另外, 检查用户 ip 地址是否没有用户到 IP 映射
>> 测试 cp-策略-匹配源<source_ip>从信任到不信任目标<destination_ip></destination_ip> </source_ip>
>> 显示用户 ip-用户映射 ip<ip_address></ip_address>
>> 显示用户 ip-用户映射-mp ip<ip_address></ip_address>
- 加载外部 http/https 网站时, 应将其重定向到被捕获的门户页面以进行身份验证。可以自定义捕获的门户页面 (设备选项卡 > 响应页)。
- 输入适当的凭据后 (由 RADIUS 服务器检查), 它将加载最初请求的页。防火墙将创建用户到 IP 映射 (映射的源将标记为 CP) :
>> 显示用户 ip-用户映射-mp 全部
用户超时的 IP Vsys (秒)
--------------- ------ ------- -------------------------------- ----------------
172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>
172.16.32.1 vsys1 GP 登录前2588475
192.168.21.94 vsys1 广告 paloaltonetworks\user2 6
总数: 3 用户
*: WMI 探测成功
- 如果用户在防火墙上有映射, 则可以为测试目的清除它, 还可以清除具有以下 CLI 命令的用户的固定门户会话:
>> 清除用户缓存 ip<ip_address></ip_address>
>> 清除用户缓存-mp ip<ip_address></ip_address>
>> 调试设备-服务器复位俘虏-门户 ip 地址
有用的疑难解答链接:
所有者: nmarkovic