目次

概要

Google Chromebooks は、学生のためのコンピューティングリソースを提供するための安価で人気のある方法です。より多くの K-12 機関は、コンピュータリソースを持つ各学生を提供するためのプログラムを採用するように、時には "一から一" と呼ばれる、安全にアプリケーション、ユーザー、およびコンテンツを有効にするための要件があります。パロアルトネットワークは、場所 (ネットワークのオンまたはオフ) に関係なく、Chromebook のエンドユーザーに対して前例のないセキュリティと柔軟性を提供します。以下のリファレンスガイドは、管理者が Chromebook ユーザーの利益のためにすべてのパロアルトネットワークの次世代テクノロジを活用することを奨励するために作成されました。

Chromebooks と GlobalProtect

多くの K-12 機関は、現在、その学生は、ローカルネットワーク (すなわち、自宅) Chromebooks を取る能力を提供しています。新しいイニシアティブは、教育の柔軟性を向上させますが、アプリケーション、ユーザー、コンテンツを安全に有効にすることに関連する複雑性も導入しています。管理者が特定のユースケース (コンテンツフィルタリング) に適用できる製品は存在しますが、常に他の重要な領域 (脅威の防止、データの exfiltration、ロギング、相関関係など) に欠けています。パロアルトネットワークプラットフォームが提供するネイティブ統合は、管理者が GlobalProtect を介してリモートデバイスの可視性と制御を完全に提供することができます。Chrome OS に固有のもので、この機能を有効にするには次の2つの部分があります。

1. Google Chromebook 管理コンソールからの GlobalProtect アプリの構成と展開。
2. ユーザーが GlobalProtect アプリを有効にせずにインターネットを参照しようとした場合に、応答ページを表示するための Squid プロキシサーバーの構成と展開。

前提条件

この構成資料では、GlobalProtect が、パロアルトネットワークの技術文書ごとのベストプラクティスに従ってファイアウォール上で既に構成されており、Chrome 搭載以外の OS デバイスで機能していることを前提としています。

GlobalProtect Google Chromebook 管理コンソールからのアプリの構成と展開

Chromebook 管理コンソールを使用すると、管理者は一元的な場所から GlobalProtect アプリをカスタマイズおよび展開できます。次の構成手順は、GlobalProtect のドキュメントから取得されています。詳細については、ガイドを読むことを強くお勧めします。

GlobalProtect アプリのユーザー設定を表示する

1. Chromebook 管理コンソールから、[デバイス管理] > [Chrome 管理] > [アプリ管理] を選択します。
   1. コンソールには、ドメイン内のすべての組織 (org) 単位で構成されたアプリの一覧が表示され、各アプリの状態が表示されます。アプリの状態をクリックすると、その状態が適用されている組織単位を表示できます。
2. GlobalProtect アプリを選択し、[ユーザー設定] を選択します。
   1. アプリが存在しない場合は、 Chrome ウェブストアで GlobalProtect を検索します。
      

組織単位内のすべてのユーザーのポリシーと設定を構成する

1. 設定を構成する組織単位を選択し、強制インストール を構成する
   1. 強制インストール –このアプリを自動的にインストールし、ユーザーが削除できないようにします。
      1. 最上位の組織単位を選択すると、その単位の全員に設定が適用されます。子組織単位を選択すると、その子組織単位内のユーザーにのみ設定が適用されます。
2. 次の構文を使用し、GlobalProtect ポータルの FQDN または IP アドレスを含むテキストファイルを JSON 形式で作成します。

   {

      "PortalAddress": {

         "値": "portalfqdn.com"

      }

   }

3. [ユーザー設定] ページで、[構成ファイルのアップロード] を選択し、 GlobalProtect 設定ファイルを参照します。
4. 変更を保存します。通常、設定は数分で有効になりますが、組織内を伝播するまでに1時間ほどかかる場合があります。

接続をテストします

1. chrome 管理コンソールがアプリを正常に展開したら、chrome OS 用の GlobalProtect アプリをテストします。

イカプロキシサーバーの構成と展開

1. 公共または民間のインフラストラクチャを介してイカのプロキシサーバーをインストールします。
2. ユーザーが GlobalProtect を有効にして/usr/share/squid3/errors/en に配置するように、応答ページをセットアップします。
   1. エラーページのカスタマイズに関する詳細は、Ubuntu のウェブサイトを参照してください。以下にサンプルページを示します。

       

      <!DOCTYPE html>

      <html></html>

          <head></head>

              <title>インターネットを閲覧するには、グローバル保護を有効にしてください</title>

       

              <style type="text/css"></style>

              <!--

              html, 本体, #tbl_wrap {高さ: 100%; 幅: 100%; パディング: 0; マージン: 0;}

              #td_wrap {垂直-整列: 中央; テキスト-整列: 中央;}

              -->

             

         

       

          <body></body>

              <table id="tbl_wrap"><tbody><tr></tr></tbody></table>

              <!-- START: Anything between these wrapper comment lines will be centered -->

       

       

      <h1>インターネットを閲覧するには、グローバル保護を有効にしてください</h1>

      <h2>https://chrome.google.com/webstore/detail/globalprotect/nicidmbokaedpmoegdbcebhnchpegcdc">ChromeBook グローバル保護クライアントをここに取得する</h2>

       

              <!-- END: Anything between these wrapper comment lines will be centered -->

             

         

       

3. 以下のイカを使用してください。

    

   #Whitelist サイト

   acl ホワイトリスト dstdomain chrome.google.com

   acl ホワイトリスト dstdomain gstatic.com

   acl ホワイトリスト dstdomain googleapis.com

   acl ホワイトリスト dstdomain accounts.google.com

   acl ホワイトリスト dstdomain clients1.google.com

   acl ホワイトリスト dstdomain clients2.google.com

   acl ホワイトリスト dstdomain clients3.google.com

   acl ホワイトリストdstdomain www.ipchicken.com

   acl ホワイトリスト dstdomain FQDN。の。Vpn。サイト (例: vpn.school.edu)

   acl ホワイトリスト dstdomain FQDN。の。プロキシ (例: proxy.school.edu)

    

   #GP 公衆は VPN IP を終えた

   acl from_gp src XXX.XXX.XXX.XXX (vpn.school.edu の IP)

    

   # 規則は、非 GP 認証されたユーザーがホワイトリストを許可する

   http_access ホワイトリストを許可する

    

   # ルールは、GP のユーザーを許可する

   http_access 許可 from_gp

    

   #catch-すべてのルール

   http_access すべて拒否

    

4. Chromebook 管理コンソールから、[デバイス管理] > [Chrome 管理] > [ユーザー設定] を選択します。
5. [ネットワーク] > [プロキシの設定] までスクロールします。
   1. [プロキシモード] ドロップダウンリストで、[指定したプロキシを常に使用する] を選択します。
   2. [プロキシサーバーの URL] で、プロキシサーバーの IP アドレスまたは FQDN を入力します。
      1. プロキシサーバーは、パブリックインターネット上のパブリック IP アドレスまたはホスト名を介してアクセスできる必要があることに注意してください。
6. Google 管理ウィンドウの右下から設定を保存します。

    

   注: プロキシを使用して、常に GlobalProtect を使用するようにブラウジングトラフィックを強制することには制限があります。多くのパブリック wi-fi ホットスポットは、認証を必要とするキャプティブポータルを使用するか、ネットワークへの接続の条件を受け入れます。これらの条件を満たすか、またはバイパスするためにイカの委任状ファイル、イカを構成することは不可能である。Google 管理コンソールで設定可能なオプションを使用して、GlobalProtect クライアントが常にオンになっているようにすると、ブロックページにプロキシサーバーを使う必要がなく、このシナリオが簡略化されます。これは現在、Chrome の OS に制限され、ここで表示することができます提出されているバグ。  google chrome の製品チームでは、chrome OS を使用して常に VPN をサポートするかどうかを判断するために、読者に対して機能要求を開くことをお勧めします。

Chromebooks とユーザー ID

chrome os デバイスは、アクティブディレクトリドメインに参加できないため、無料の chrome os プラグインを活用して、ユーザー ID 機能を提供することができます。このプラグインは、Chrome の拡張機能、PHP ベースのウェブサーバ、およびパロアルトネットワークファイアウォールで構成されています。

ユーザー ID の Chrome 拡張機能、使用するサンプル PHP スクリプト、およびこのセットアップを取得するための一般的な手順については、こちらをご覧ください。大まかには、一般的なワークフローは次のようになります。

1. Chrome プラグインはユーザー情報を取り出し、PHP スクリプトへの HTTP POST を生成します。POST 要求には、Chromebook の IP アドレスとユーザー名が含まれます。
2. PHP スクリプトは GET/POST リクエストから情報を取り出します。その後、php サーバはその情報を処理し、syslog メッセージをファイアウォールに送信する php スクリプトに渡します。
3. ファイアウォールは syslog レシーバとして機能します。カスタム syslog フィルタは、PHP サーバからの着信 syslog UDP トラフィックを解析し、受信した syslog メッセージからユーザ ID マッピングを適用します。

Chrome プラグインのセットアップ (背景. 最小 js ファイル)

1. #yourGoogleDomain #を Google ドメインに変更します。
2. お好みのサーバー上の php スクリプトの場所に #locationToIndex を変更します。

3. #yourGoogleDomain # の両方のインスタンスを Google ドメインに変更します。

Chrome プラグインを展開する

1. アプリ @ yourGoogleDomain アカウントを作成します。
2. アプリを Zip および公開します。
3. 公開後、選択した組織/サブ org に展開します (ルートレベルをお勧めします)。

php スクリプト (php および syslog ファイル) をセットアップします。

1. #yourPANBoxManagementIP #を、syslog メッセージ (通常は管理インターフェイス) を受け取るインターフェイスの IP アドレスに変更します。

2. #ThisWebServerHostname #を PHP スクリプトが存在するウェブサーバのホスト名に変更します。
3. #FQDNofThisWebServer #を、PHP スクリプトが存在するウェブサーバの FQDN に変更します。
4. #ThisIPAddress #を、PHP スクリプトが存在するウェブサーバの IP アドレスに変更します。

PHP スクリプトをデプロイする

1. PHP (IIS を実行しているサーバー) を実行できるサーバー上の同じフォルダにファイルをコピーします。
   1. 必要に応じて、ワイルドカードまたは一意の証明書を使用して HTTPS アクセスを保護できます。

Syslog メッセージを解析するようにファイアウォールを構成する

1. [デバイス] > [ユーザー id] > [ユーザーマッピング] > [編集] に移動し ます。
2. [Syslog フィルタ] > [追加] に移動し ます。
1. 型をフィールド識別子に変更します。
2. 次の情報をフィールド識別子の下に正確に示すように入力します。Syslog 解析プロファイル
3. [OK] をクリックして、Syslog 解析プロファイルウィンドウを閉じます 。
3. [OK] をクリックして、[パロアルトネットワークのユーザー ID エージェントのセットアップ] ウィンドウを閉じます。
4. [ユーザーマッピング] タブで、[サーバー監視] の [追加] をクリックし ます。
   1. PHP サーバーのネットワークアドレスと、デフォルトのドメイン名の AD ドメイン名を入力します。
   2. 手順2で作成した Syslog 解析プロファイルを選択します。ユーザー識別モニターサーバー
5. 構成をコミットしてテストします。

Chromebooks と SSL フォワードプロキシ

Chrome OS は、特定の種類のトラフィックがユーザーレベル (一般的な web ブラウジング) で発生するように設計されており、他の種類のトラフィックはデバイスレベル (ユーザーログインページ、ソフトウェアの更新など) で発生します。これは、SSL フォワードプロキシを有効にするときに、証明書をユーザーレベルでのみ展開できるため、Chrome OS が正常に機能するために必要なタスクを中断するという問題を示しています。

そのため、問題を軽減するには、特定の url を含むホワイトリストが必要です。

前提条件

この構成資料では、SSL フォワードプロキシが、パロアルトネットワークの技術文書ごとのベストプラクティスに従って既に構成されており、Chrome 以外の OS デバイスで機能していることを前提としています。また、証明書が Chrome OS デバイスに既に展開されていることも前提としています。

1. ファイアウォール内で、[オブジェクト] > [カスタムオブジェクト] > [URL カテゴリ] > [追加] に移動し、上記のリンクに表示されている url の現在のリストを入力します。
   カスタム URL カテゴリ
   
2. [ OK ]
3. [ポリシー] > [復号化] に移動し、新しく作成したカスタム url カテゴリを [ サービス/url カテゴリ] タブに追加します。復号化ポリシールール
4. [ OK ]をクリックします復号化ポリシー
5. 構成をコミットしてテストする