GlobalProtect:基于一次性密码的两个因子身份验证

GlobalProtect:基于一次性密码的两个因子身份验证

133330
Created On 09/27/18 07:39 AM - Last Modified 03/26/21 17:27 PM


Resolution


西瓦塞卡兰·拉贾塞卡兰

*斯拉贾塞卡尔

 

背景

 

在允许用户访问企业资源之前, 企业需要更强的身份验证方法, 如一次性密码 (OTPs)。 通过要求 OTP 基于身份验证,企业能够防止攻击者使用被盗的用户凭据和获得未经授权的访问。 但是,任何需要的部署 OTP 都会被内用户推回,因为他们认为 OTP 是一种痛苦的用户体验。

 

目的

 

GlobalProtect 支持 OTP 基于身份验证,并提供保持用户体验更好的方法。 本文档的目的是为企业管理员提供有关不同 OTP 身份验证工作流程的信息 GlobalProtect ,并帮助他们决定 GlobalProtect 符合其安全和合规性要求的身份验证情景,同时保持用户体验的简单性和简单性。

 

OTP 身份验证 GlobalProtect

 

GlobalProtect OTP支持基于身份验证通过 RADIUS 或 SAML ,这 GlobalProtect 允许是完全不可知的 OTP 供应商。 GlobalProtect 可以与任何供应商合作, OTP 只要他们启用它使用 RADIUS 或 SAML 。 根据 OTP 服务的配置方式,用户将使用以下 2 个工作流之一进行身份验证:

  1. 用户首先提供用户名和密码,然后只有在被质疑后提供 OTP 。 OTP 可以推动批准 SMS 或或令牌代码。
  2. 用户同时提供用户名 OTP 和/或密码,无需等待挑战

GlobalProtect 支持这两个工作流程。

要在 Duo 上进行示例 RADIUS 配置以实现这 2 个工作流,请参阅该部分末尾的"Duo 配置示例"。

在 OTP 始终打开模式下需要基于身份验证-请参阅 此处

 

在 OTP 按需模式下需要基于身份验证

 

在 GlobalProtect 按需模式下部署时,用户将根据需要手动连接 GlobalProtect 。 此模式是典型的安全远程访问使用案例,远程用户设置 VPN 隧道以访问公司数据中心资源, VPN 并在不再需要访问内部数据中心网络时断开连接。

 

使用案例 1: OTP GlobalProtect 使用点播模式需要身份验证 RADIUS

 

在按需连接方法中, GlobalProtect 代理始终先对门户进行身份验证,然后每次用户启动连接时验证到网关 GlobalProtect 。 要求 OTP 在门户和网关上进行身份验证意味着用户将获得 OTP 两次提示(一次通过门户,然后通过网关)。 但是 GlobalProtect ,(从 PAN OS 7.1 和 GlobalProtect 3.1 开始)提供身份验证覆盖,该功能可最大限度地减少用户获得身份验证提示的次数。 有关身份验证覆盖的更多详细信息,请参阅: 增强的双重身份验证

推荐配置:

  • 需要 OTP 对门户和网关进行身份验证
  • 在门户中,
    • 将 "保存用户凭据" 设置为 "仅保存用户名"
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的使用寿命设置为 N "小时"。 N''小时是用户不再被提示获得凭据的时间。 N根据您要提供的用户体验选择""。
  • 在网关,
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的使用寿命设置为 N "小时"。
    • 请确保使用相同的证书在门户和网关中加密/解密 cookie。
    • 注: 如果需要撤销用于身份验证覆盖的证书,使用专用证书进行身份验证 Cookie 加密和解密可具有灵活性。

用户添加的图像网关上的门户用户添加的图像配置上的配置

 

有了这种配置,当最终用户手动启动连接 GlobalProtect 时,最终用户体验将是:



  1. 工作流程-1


  2. 工作流程-2

 

 

 

使用案例 2: OTP GlobalProtect 使用点播模式需要身份验证 SAML

 

从 PAN OS 8.0 和 GlobalProtect 4.0 开始, GlobalProtect 支持 SAML 身份验证。 使用时 SAML , GlobalProtect 代理打开 Web 视图/嵌入式浏览器,为 IdP 的登录页面提供服务 SAML ,并允许用户完成身份验证。 因为它是不同的浏览器(嵌入式浏览器),

请注意 GlobalProtect :App 5.2+ 和 Pan-OS 8.1.17,9.0.11,9.1.6,10.0+ 和稍后版本支持在使用身份验证时启动默认系统浏览器而不是嵌入式浏览器的能力 SAML 。更多信息可 在此处找到

      • SAML 通过身份验证获得的cookie GlobalProtect 无法用于提供 SSO 其他 SAML 启用的应用程序,反之亦然。
      • SAML 通过身份验证获得的cookie GlobalProtect 不会在重新启动和注销中持续存在。

为了实现透明身份验证,即使在使用 OTP 时 SAML ,建议的配置是:

      • 需要 SAML 对门户和网关进行身份验证
      • IdP 配置决定 Cookie SAML 的有效期。 只要 Cookie SAML 持续且有效,用户体验到透明身份验证 GlobalProtect 。

 

有关如何 SAML 配置使用 Okta 身份验证的信息 GlobalProtect ,请参阅 此处

 

要在重新启动和注销中提供透明身份验证,请使用身份验证覆盖功能 GlobalProtect

 

      • 在门户中,
        • 将 "保存用户凭据" 设置为 "仅保存用户名"
        • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
        • 将饼干的使用寿命设置为 N "小时"。 N''小时是用户不再被提示获得凭据的时间。 N根据您要提供的用户体验选择""。
      • 在网关,
        • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
        • 将饼干的使用寿命设置为 N "小时"。
        • 请确保使用相同的证书在门户和网关中加密/解密 cookie。
        • 注: 如果需要撤销用于身份验证覆盖的证书,使用专用证书进行身份验证 Cookie 加密和解密可具有灵活性。

 

有关 OTP 在 GlobalProtect 始终打开模式下进行身份验证的建议,请参阅此处的本系列的下一部分

 

二重奏配置示例

Duo 实现 2 个工作流的示例配置:

有关如何设置 Duo 以提供 OTP 身份验证的详细信息 GlobalProtect ,请参阅 此处

工作流程 1: 用户首先提供用户名和密码,然后只有在受到质疑后才能提供 OTP 。 OTP 可以推送以批准 SMS 或代币代码。

工作流程 2:用户同时提供用户名 OTP 和/或密码,无需等待挑战

[ad_client]

主机= AD- 服务器>

service_account_username =<administrator></administrator>

service_account_password =<administrator’s password=""></administrator’s>

DCsearch_dn= DC

 

[duo_only_client]

[radius_server_challenge]

艾奇 =<duo-integration-key></duo-integration-key>

skey =<duo-security-key></duo-security-key>

api_host =<duo-host-name></duo-host-name>

firewallradius_ip_1=-毫克-ip>

radius_secret_1=<radius-secret></radius-secret>

客户端 = ad_client

failmode = 安全

port=1812
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language