セキュリティで保護された RSA を使用してユーザーグループベースの VPN 認証を構成する方法

概要

ユーザーグループに基づいてユーザーを認証する場合、ほとんどの展開では LDAP 認証プロファイルが使用されます。このドキュメントでは、パロアルトネットワークファイアウォールに必要な構成について説明し、セキュア RSA を使用してユーザーグループベースの VPN 認証を成功させるために、パロアルトネットワークユーザーグループ属性をプルする方法についていくつかの光を投げかけています。

前提条件: この記事で説明するように、パロアルトネットワークファイアウォールのグループ情報は、LDAP プロファイルを使用して設定する必要があります。グループマッピングと認証のために Active Directory サーバープロファイルを構成してからこれらを開始する方法構成手順

手順

1. [デバイス] > [サーバープロファイル] > [radius] に移動し、radius サーバーを追加します。
   
2. [デバイス] > [認証プロファイル] に移動し、手順1で作成した radius サーバープロファイルを参照して radius 認証プロファイルを作成します。
   
   上記のスクリーンショットでは、許可一覧で LDAP ユーザーグループを参照していますが、radius サーバープロファイルを使用して認証要求を radius サーバーに中継しています。認証は、パロアルトネットワークファイアウォールでは発生しませんのでご注意ください。代わりに、RADIUS サーバー上で行われます。その結果、RADIUS サーバーは、以下のスクリーンショットで強調表示されているユーザーグループ情報を、"パロアルトネットワーク辞書ファイル" を通じて渡すことができる機能を備えている必要があります。
   

パロアルトネットワーク辞書 radius サーバーにインストールし、パロアルトネットワークファイアウォールと radius サーバー間の通信に必要な認証属性を定義します。

また見なさい

辞書ファイルをダウンロードして詳細については、次のリンクを参照してください: RADIUS ディクショナリ

所有者: tshivkumar