キャプティブ ポータル認証 DUO
19975
Created On 08/14/20 21:25 PM - Last Modified 03/26/21 18:33 PM
Objective
このドキュメントは、管理者が firewall 認証を使用して 2 要素認証と共にキャプティブ認証を設定できるように設計されています DUO 。
Environment
- PAN OS V8.1+
- DUO MFA.
Procedure
- [デバイス >サーバー プロファイル] で多要素認証サーバー プロファイルを構成するこのプロファイルは、ファイアウォールがプロバイダに接続して通信する方法 MFA を定義します。 この場合は DUO を使用するため API 、保護されたアプリケーションからホスト、統合キー、およびシークレット キーを取得する必要 DUO があります。
注: シスコ DUO のアプリケーション保護の詳細については、この リンクを使用します。
注:多要素プロファイルで必要な証明書は CA firewall MFA 、サーバーへのセキュア接続を設定するときにサーバー証明書を検証するために使用するルート証明書であり、この証明書は MFA 、以下のようにベンダーの Web サイトとルート ベンダー Web サイトに存在します CA 。
- 証明書をダウンロードし、 firewall 次のように[証明書]タブにインポートします。
- 証明書プロファイルを作成し、 CA 必要に応じてルート証明書を追加し、このプロファイルを多要素認証サーバプロファイルで使用します。
キャプティブ ポータル ユーザの認証に使用する認証プロファイルを作成し、このプロファイルでは 2 つの認証ステップを追加します RADIUS LDAP 。
次に、この認証を 2 番目の認証として使用する [係数] タブの下のマルチ認証サーバー プロファイルをリンクする必要があります。
- ネットワーク リソースにアクセスするエンド ユーザーの認証に使用する方法とサービスを指定する認証強制オブジェクトの作成
- [認証] で、 Policy 認証方法とサービスを呼び出すトラフィックに一致するルールを作成し、次のように認証強制を適用します。
- 認証でルールに一致するトラフィックを生成 Policy firewall し、キャプティブ ポータル Web ページに使用をリダイレクトすると、ユーザは次のように最初の認証に対して資格情報を入力する必要があります。
- 認証のルールに一致するトラフィックを生成する
- その後 firewall 、メーカーは MFA 、モバイル アプリでの自動プッシュなどの構成済みの手順を使用してユーザー OTP を認証するよう要求 DUO します。
- ユーザーが 2 番目の認証を渡すと、ユーザーは目的のリソースにアクセスできます。
- 認証結果を監視するには、>認証のモニターに進み、第 1 および第 2 の認証試行結果を確認し、サブタイプタブで使用される認証タイプを定義します。
Additional Information
追加情報:
パロアルト管理ガイド:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -admin/認証 - policy /configure-認証- policy .html#id0ff4d899-df86-4f6f-905e-e7b86c938203
DUOおよびパロアルト構成:
https://duo.com/docs/paloalto