Autenticación del portal cautivo mediante DUO
19977
Created On 08/14/20 21:25 PM - Last Modified 03/26/21 18:33 PM
Objective
Este documento está diseñado para ayudar a firewall los administradores a configurar la autenticación cautiva junto con la autenticación de dos factores usando la DUO autenticación.
Environment
- PAN OS V8.1+
- DUO MFA.
Procedure
- Configurar perfil de servidor multifactor en Perfiles de servidor de > de dispositivo,este perfil define cómo los firewalls se conectarán y se comunicarán con los MFA proveedores. En nuestro caso DUO usamos, por lo que requiere que obtengamos la API clave Host, Integration Key y Secret de DUO la aplicación protegida.
Nota: Más detalle sobre la protección de la aplicación de Cisco DUO utilizan este link.
Nota: El certificado que se requiere en el perfil multifactor es el CA certificado raíz que utiliza validar el certificado del servidor al configurar una conexión segura con firewall el MFA servidor, estos Certificados existen en el sitio web del proveedor y el MFA sitio web del proveedor raíz como se indica a CA continuación:
- Descargue los certificados e impórtelo en la firewall pestaña certificado como se indica a continuación:
- Cree un perfil de certificado y agregue los CA certificados raíz según sea necesario y, a continuación, utilice este perfil en el perfil del servidor de autenticación multifactor.
Cree un perfil de autenticación que se usará para autenticar usuarios cautivos del portal, en este perfil agregaremos dos pasos de autenticación, la primera autenticación será la autenticación habitual mediante Local, RADIUS o cualquier otro tipo de LDAP autenticación, en este ejemplo usamos la autenticación local.
A continuación, necesitamos vincular el perfil del servidor de autenticación múltiple en la pestaña Factores que aplicará esta autenticación para que se use como segunda autenticación.
- Crear objeto de aplicación de autenticación que especifica el método y el servicio que se utilizarán para autenticar a los usuarios finales que acceden a los recursos de red
- En Autenticación Policy cree una regla que coincida con el tráfico para invocar el método y el servicio de autenticación y aplique la aplicación de autenticación como se indica a continuación:
- Genere un tráfico que coincida con la regla en la autenticación Policy , firewall después redirija el uso a la página web del portal cautivo, el usuario necesita ingresar sus credenciales para la primera autenticación como se muestra a continuación:
- Generar tráfico que coincida con la regla en la autenticación
- A continuación, firewall solicitará MFA al proveedor que autentique al usuario mediante el procedimiento configurado como OTP o Inserción automática en la aplicación DUO móvil.
- Una vez que el usuario pasa la segunda autenticación, el usuario podrá acceder al recurso previsto.
- Para supervisar los resultados de autenticación, puede ir a Supervisar autenticación > para comprobar el primer y segundo resultado de la prueba de autenticación, la pestaña de subtipo definirá el tipo de autenticación utilizado.
Additional Information
Información adicional:
Guía de administración de Palo Alto: https://docs.paloaltonetworks.com/
pan-os /9-0/ pan-os -admin/authentication/authentication- policy /configure-authentication- policy .html#id0ff4d899-df86-4f6f-905e-e7b86c938203
DUO y configuración de Palo Alto:
https://duo.com/docs/paloalto