Captive Portal Authentication mit DUO
Objective
Dieses Dokument soll Administratoren bei der Konfiguration der Captive Authentication zusammen mit der firewall Zwei-Faktor-Authentifizierung mithilfe DUO der Authentifizierung unterstützen.
Environment
- PAN OS V8.1+
- DUO MFA.
Procedure
- Konfigurieren Sie das Multi Factor Authentication Server Profile unter Device > Server Profiles, definiert dieses Profil, wie Firewalls eine Verbindung herstellen und mit Anbietern MFA kommunizieren. In unserem Fall verwenden wir DUO , daher müssen wir den API Host-, Integrationsschlüssel und den geheimen Schlüssel von DUO der geschützten Anwendung abrufen.
- Laden Sie das Zertifikat(s) herunter und importieren Sie es wie folgt in die firewall Registerkarte Zertifikat:
- Erstellen Sie ein Zertifikatprofil, und fügen Sie die CA Stammzertifikate bei Bedarf hinzu, und verwenden Sie dieses Profil dann im Multi-Factor Authentication Server-Profil.
Erstellen Sie ein Authentifizierungsprofil, das verwendet wird, um verbundene Portalbenutzer zu authentifizieren, in diesem Profil fügen wir zwei Authentifizierungsschritte hinzu, die erste Authentifizierung ist die übliche Authentifizierung mit entweder Local, RADIUS oder einem anderen LDAP Authentifizierungstyp, in diesem Beispiel haben wir die lokale Authentifizierung verwendet.
Anschließend müssen wir das Serverprofil für mehrere Authentifizierungen unter der Registerkarte Faktoren verknüpfen, um diese Authentifizierung als zweite Authentifizierung zu erzwingen.
- Create Authentication Enforcement-Objekt, das die Methode und den Dienst angibt, die zum Authentifizieren von Endbenutzern verwendet werden sollen, die auf Ihre Netzwerkressourcen zugreifen
- Erstellen Sie unter Authentifizierung Policy eine Regel, die dem Datenverkehr entspricht, um die Authentifizierungsmethode und den Dienst aufzurufen, und wenden Sie die Authentifizierungserzerzwingung wie folgt an:
- Generieren Sie einen Datenverkehr, der der Regel in der Authentifizierung Policy entspricht, die firewall dann die Verwendung an die Captive Portal-Webseite umleiten muss, muss der Benutzer seine Anmeldeinformationen für die erste Authentifizierung wie folgt eingeben:
- Generieren von Datenverkehr, der der Regel in der Authentifizierung entspricht
- Anschließend fordert der firewall den MFA Anbieter auf, den Benutzer mithilfe des konfigurierten Verfahrens wie OTP "Automatisches Pushen in der mobilen App" zu authentifizieren. DUO
- Sobald der Benutzer die zweite Authentifizierung besteht, kann der Benutzer auf die beabsichtigte Ressource zugreifen.
- Um die Authentifizierungsergebnisse zu überwachen, können Sie zum Überwachen > Authentifizierung wechseln, um die ersten und zweiten Authentifizierungstestergebnisse zu überprüfen.
Additional Information
Zusätzliche Informationen:
Palo Alto Administration Guide:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -admin/authentication/authentication- policy /configure-authentication- policy .html-id0ff4d899-df86-4f6f-905e-e7b86c938203
DUO und Palo Alto Konfiguration:
https://duo.com/docs/paloalto