如何使用安全 RSA 配置基于用户组的 VPN 身份验证

概述

当涉及到基于用户组对用户进行身份验证时, 大多数部署都使用 LDAP 身份验证配置文件。本文档描述了帕洛阿尔托网络防火墙所需的配置, 并介绍了如何拉动帕洛阿尔托网络用户组属性, 以确保使用安全 RSA 成功地进行基于用户组的 VPN 身份验证。

先决条件: 关于帕洛阿尔托网络防火墙的组信息需要通过 LDAP 配置文件进行填充, 如本文所述: 如何在启动这些文件之前为组映射和身份验证配置活动目录服务器配置式配置步骤

步骤

1. 转到设备 > 服务器配置文件 > 半径并添加 radius 服务器。
   
2. 转到设备 > 身份验证配置文件, 并通过引用在步骤1中创建的 radius 服务器配置文件创建 radius 身份验证配置文件。
   
   在上面的屏幕截图中显示, 虽然我们在允许列表中引用了 LDAP 用户组, 但我们正在使用 radius 服务器配置文件将身份验证请求中继到 RADIUS 服务器. 请注意, 身份验证不会发生在帕洛阿尔托网络防火墙上。相反, 它发生在 RADIUS 服务器上。因此, RADIUS 服务器应该能够通过下面的截图中突出显示的用户组信息, 这是可以通过 "帕洛阿尔托网络词典文件" 进行的。
   

帕洛阿尔托网络词典安装在 radius 服务器上, 并定义了帕洛阿尔托网络防火墙和 RADIUS 服务器之间通信所需的身份验证属性。

请参见

要下载词典文件并了解更多信息, 请参考以下链接: RADIUS 词典

所有者： tshivkumar