使用俘虏门户身份验证 DUO
19979
Created On 08/14/20 21:25 PM - Last Modified 03/26/21 18:33 PM
Objective
此文档旨在帮助 firewall 管理员使用身份验证配置自传身份验证以及两个因子 DUO 身份验证。
Environment
- PAN OS V8.1+
- DUO MFA.
Procedure
- 在 "设备>服务器配置文件"下配置多因素身份验证服务器配置文件,此配置文件定义了防火墙如何与提供商连接和通信 MFA 。 在我们的情况下,我们使用 DUO ,所以它要求我们从 API 受保护的应用程序获得主机,集成密钥和秘密密钥 DUO 。
注意:有关思科应用程序保护的更多详细信息 DUO 使用此 链接。
注意:多因素配置文件中要求的 CA 证书是 firewall MFA 用于验证服务器证书的根证书,用于在设置与服务器的安全连接时验证服务器证书,此证书存在于 MFA 供应商网站和 Root CA 供应商网站,如下所示:
- 下载证书并在证书选项卡中导入如下 firewall :
- 创建证书配置文件并 CA 根据需要添加根证书,然后在多因素身份验证服务器配置文件中使用此配置文件。
创建 一个身份验证配置文件,用于对捕获的门户用户进行身份验证,在此配置文件中,我们将添加两个身份验证步骤,第一个身份验证将使用本地 RADIUS 身份验证 LDAP 或任何其他类型的身份验证,在此示例中我们使用了本地身份验证。
然后,我们需要在因子选项卡下链接多身份验证服务器配置文件,该配置文件将强制此身份验证用作第二次身份验证。
- 创建身份验证强制对象,指定用于验证访问您的网络资源的最终用户的方法和服务
- 在身份验证下 Policy 创建一个与流量相匹配的规则,以调用身份验证方法和服务,并将身份验证执行应用如下:
- 生成与身份验证中的规则相匹配的流量 Policy , firewall 然后将使用重定向到捕获门户网页,用户需要输入以下第一个身份验证的凭据:
- 生成与身份验证中的规则匹配的流量
- 然后, firewall 将要求 MFA 供应商使用配置的程序(如 OTP 移动应用程序上的自动推送)对用户进行身份验证 DUO 。
- 一旦用户通过第二个身份验证,将允许用户访问预期资源。
- 若要监视身份验证结果,可以转到"监视>"以检查第一个和第二个身份验证试验结果,子类型选项卡将定义使用的身份验证类型。
Additional Information
其他信息:
帕洛阿尔托管理指南:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -管理员/认证/认证 - policy /配置认证 - policy .html#id0ff4d899-df86-4f6f-905e-e7b86c938203
DUO和帕洛阿尔托配置:
https://duo.com/docs/paloalto