Azure マルチファクタ認証を使用してパロアルト GlobalProtect を構成する
227850
Created On 09/25/18 20:40 PM - Last Modified 04/20/20 23:58 PM
Resolution
GlobalProtect を使用して Azure MFA RADIUS を構成する方法について詳しく説明します。GlobalProtect は、Azure が pap と MSCHAPv2 のみをサポートするように、pap の使用を強制しているパロアルトネットワークで必要とされる主要な構成に注意してください。
オンプレミスの mfa サーバー RADIUS を使用した Azure mfa の設定 (マイクロソフトが推奨)
注: MFA サーバーが既にインストールされており、ユーザーが既に AD と同期していることを前提とします。
- Radius 認証を有効にします。
- Azure 多要素認証 radius サービスが、構成されるクライアントからの radius 要求をリッスンするために標準以外のポートにバインドする必要がある場合は、クライアントのタブで、認証ポートとアカウンティングポートを変更します。これは、パロ・アルト・ネットワークで構成されたのと同じです。
- [クライアント] タブの [追加] をクリックします。
- Azure マルチファクタ認証サーバーに対して認証 される ip アドレスとして、パロアルトネットワークファイアウォールの管理 ipを入力します。
- 名前を付けて (オプション)
- 共有シークレットを入力します。
- [多要素認証のユーザー一致が必要] を選択します。'
ユーザーが Azure 多要素認証モバイルアプリ認証を使用する場合に [フォールバック宣誓トークンを有効にする] チェックボックスをオンにし、筆頭の電話、SMS、またはプッシュ通知に対するフォールバック認証として宣誓書の使用を希望する場合。
8。[ターゲット] タブで、コンピュータがドメインに参加している場合は [Windows ドメイン] を使用し、そうでない場合は LDAP バインドを使用します。
GlobalProtect 構成
注: Azure MFA サーバーは、PAP と MSCHAPv2 のみをサポートしています。GlobalProtect は、PAP のみを使用するように強制する必要があります。デフォルトでは auto に設定されています。 別の認証が選択されている場合、authd のエラーメッセージは無効なユーザー名/パスワードのみを示します。
パンを os 7.0.3 パロアルト ネットワーク ファイアウォールを RADIUS CHAP モードを手動で無効にするオプションはありませんまたはそれ以前、webGUI またはコマンド ・ ラインから。
PAN-OS 7.0.4 以上では、' > 認証 radius 認証タイプ<></>の pap > を設定して、手動で radius の種類を設定する ことができます。
- パロ・アルト・ネットワーク・ファイアウォールにログインしてください。
- [デバイス] > [サーバープロファイル] > [Radius] で、次のプロファイルを作成し
ます。名前プロファイル-MFA サーバ b の名前
。ロケーション-共有
c タイムアウト-30 ~ 60 秒ユーザーの資格情報の検証、多要素認証の実行、応答の受信、および RADIUS アクセス要求への応答 (下のスクリーンショットを参照) に時間を許可します。
d. 再試行-3。
e。[追加] をクリックし、RADIUS サーバーを、上記で構成した Windows Azure 多要素認証サーバーと同じ共有シークレットの FQDN または IP
アドレスとして指定します。f. ポートのデフォルト-1812。
- [ネットワーク] > [ゲートウェイ] (ゲートウェイが既に構成されていることを前提とします)
- [全般] > [認証プロファイル] で、手順2で作成したプロファイルを選択します。