Authentification captive du portail à l’aide DUO
19961
Created On 08/14/20 21:25 PM - Last Modified 03/26/21 18:33 PM
Objective
Ce document est conçu pour aider les administrateurs à firewall configurer l’authentification captive ainsi que l’authentification two factor à l’aide de DUO l’authentification.
Environment
- PAN OS V8.1+
- DUO MFA.
Procedure
- Configurez le profil serveur d’authentification multifacteur sous > profils de serveur,ce profil définit comment les pare-feu se connecteront et communiqueront avec les MFA fournisseurs. Dans notre cas, nous utilisons DUO , il nous oblige donc à obtenir l’hôte, clé API d’intégration, et clé secrète de DUO l’application protégée.
Remarque : Plus de détails sur la protection des applications Cisco DUO utilisent ce lien.
Remarque : Le certificat requis dans le profil multi-facteurs est le certificat racine qui utilise pour valider le certificat serveur lors de CA la mise en place firewall MFA d’une connexion sécurisée au serveur, ces certificats existent dans le site MFA Web du fournisseur et le site Root Vendor comme CA ci-dessous :
- Téléchargez le certificat et importez-le dans l’onglet firewall certificat ci-dessous :
- Créez un profil de certificat et ajoutez CA le certificat racine au besoin, puis utilisez ce profil dans le profil du serveur d’authentification multifaction.
Créer un profil d’authentification qui sera utilisé pour authentifier les utilisateurs du portail captif, dans ce profil, nous allons ajouter deux étapes d’authentification, la première authentification sera authentification habituelle en utilisant soit RADIUS local, ou LDAP tout autre type d’authentification, dans cet exemple, nous avons utilisé l’authentification locale.
Ensuite, nous devons lier le profil du serveur d’authentification multi sous l’onglet Facteurs qui appliquera cette authentification pour être utilisé comme deuxième authentification.
- Créez un objet d’exécution d’authentification qui spécifie la méthode et le service à utiliser pour authentifier les utilisateurs finaux qui accèdent à vos ressources réseau
- Sous Authentification Policy créer une règle qui correspondent au trafic pour invoquer la méthode d’authentification et le service et appliquer l’application de l’authentification comme ci-dessous:
- Générer un trafic qui correspond à la règle dans l’authentification Policy , puis firewall rediriger l’utilisation vers la page web portail captif, l’utilisateur doit entrer ses informations d’identification pour la première authentification comme ci-dessous:
- Générer du trafic qui correspond à la règle dans l’authentification
- Ensuite, le firewall fournisseur demandera MFA d’authentifier l’utilisateur en utilisant la procédure configurée OTP comme ou Pression automatique sur DUO l’application mobile.
- Une fois que l’utilisateur passe la deuxième authentification, l’utilisateur sera autorisé à accéder à la ressource prévue.
- Pour surveiller les résultats de l’authentification, vous pouvez vous rendre à Monitor > Authentication pour vérifier les résultats du premier et du deuxième essai d’authentification, l’onglet sous-type définira le type d’authentification utilisé.
Additional Information
Informations complémentaires:
Guide de l’administration de Palo Alto:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -admin/authentification/authentification- policy /configure-authentification- policy .html#id0ff4d899-df86-4f6f-905e-e7b86c938203
DUO et Palo Alto configuration:
https://duo.com/docs/paloalto