Azure マルチファクタ認証を使用してパロアルト GlobalProtect を構成する

GlobalProtect を使用して Azure MFA RADIUS を構成する方法について詳しく説明します。GlobalProtect は、Azure が pap と MSCHAPv2 のみをサポートするように、pap の使用を強制しているパロアルトネットワークで必要とされる主要な構成に注意してください。 

オンプレミスの mfa サーバー RADIUS を使用した Azure mfa の設定 (マイクロソフトが推奨)

注: MFA サーバーが既にインストールされており、ユーザーが既に AD と同期していることを前提とします。

1. Radius 認証を有効にします。
   
   
2. Azure 多要素認証 radius サービスが、構成されるクライアントからの radius 要求をリッスンするために標準以外のポートにバインドする必要がある場合は、クライアントのタブで、認証ポートとアカウンティングポートを変更します。これは、パロ・アルト・ネットワークで構成されたのと同じです。
   
   
3. [クライアント] タブの [追加] をクリックします。
   
   
   
   
   
4. Azure マルチファクタ認証サーバーに対して認証 される ip アドレスとして、パロアルトネットワークファイアウォールの管理 ipを入力します。
   
   
5. 名前を付けて (オプション)
   
   
6. 共有シークレットを入力します。
   
   
7. [多要素認証のユーザー一致が必要] を選択します。'
   
   ユーザーが Azure 多要素認証モバイルアプリ認証を使用する場合に [フォールバック宣誓トークンを有効にする] チェックボックスをオンにし、筆頭の電話、SMS、またはプッシュ通知に対するフォールバック認証として宣誓書の使用を希望する場合。

 
8。[ターゲット] タブで、コンピュータがドメインに参加している場合は [Windows ドメイン] を使用し、そうでない場合は LDAP バインドを使用します。 

GlobalProtect 構成

注: Azure MFA サーバーは、PAP と MSCHAPv2 のみをサポートしています。GlobalProtect は、PAP のみを使用するように強制する必要があります。デフォルトでは auto に設定されています。  別の認証が選択されている場合、authd のエラーメッセージは無効なユーザー名/パスワードのみを示します。

パンを os 7.0.3 パロアルト ネットワーク ファイアウォールを RADIUS CHAP モードを手動で無効にするオプションはありませんまたはそれ以前、webGUI またはコマンド ・ ラインから。 

PAN-OS 7.0.4 以上では、' > 認証 radius 認証タイプ<></>の pap > を設定して、手動で radius の種類を設定する ことができます。 

1. パロ・アルト・ネットワーク・ファイアウォールにログインしてください。
2. [デバイス] > [サーバープロファイル] > [Radius] で、次のプロファイルを作成し
   
   ます。名前プロファイル-MFA サーバ b の名前
   。ロケーション-共有
   c タイムアウト-30 ~ 60 秒ユーザーの資格情報の検証、多要素認証の実行、応答の受信、および RADIUS アクセス要求への応答 (下のスクリーンショットを参照) に時間を許可します。
   d. 再試行-3。
   e。[追加] をクリックし、RADIUS サーバーを、上記で構成した Windows Azure 多要素認証サーバーと同じ共有シークレットの FQDN または IP
   アドレスとして指定します。f. ポートのデフォルト-1812。
   
   
3. [ネットワーク] > [ゲートウェイ] (ゲートウェイが既に構成されていることを前提とします)
4. [全般] > [認証プロファイル] で、手順2で作成したプロファイルを選択します。