セキュリティで保護された RSA を使用してユーザーグループベースの VPN 認証を構成する方法
31185
Created On 09/25/18 18:40 PM - Last Modified 06/09/23 07:44 AM
Resolution
概要
ユーザーグループに基づいてユーザーを認証する場合、ほとんどの展開では LDAP 認証プロファイルが使用されます。このドキュメントでは、パロアルトネットワークファイアウォールに必要な構成について説明し、セキュア RSA を使用してユーザーグループベースの VPN 認証を成功させるために、パロアルトネットワークユーザーグループ属性をプルする方法についていくつかの光を投げかけています。
前提条件: この記事で説明するように、パロアルトネットワークファイアウォールのグループ情報は、LDAP プロファイルを使用して設定する必要があります。グループマッピングと認証のために Active Directory サーバープロファイルを構成してからこれらを開始する方法構成手順
手順
- [デバイス] > [サーバープロファイル] > [radius] に移動し、radius サーバーを追加します。
- [デバイス] > [認証プロファイル] に移動し、手順1で作成した radius サーバープロファイルを参照して radius 認証プロファイルを作成します。
上記のスクリーンショットでは、許可一覧で LDAP ユーザーグループを参照していますが、radius サーバープロファイルを使用して認証要求を radius サーバーに中継しています。認証は、パロアルトネットワークファイアウォールでは発生しませんのでご注意ください。代わりに、RADIUS サーバー上で行われます。その結果、RADIUS サーバーは、以下のスクリーンショットで強調表示されているユーザーグループ情報を、"パロアルトネットワーク辞書ファイル" を通じて渡すことができる機能を備えている必要があります。
パロアルトネットワーク辞書 radius サーバーにインストールし、パロアルトネットワークファイアウォールと radius サーバー間の通信に必要な認証属性を定義します。
また見なさい
辞書ファイルをダウンロードして詳細については、次のリンクを参照してください: RADIUS ディクショナリ
所有者: tshivkumar