使用俘虏门户身份验证 DUO

此文档旨在帮助 firewall 管理员使用身份验证配置自传身份验证以及两个因子 DUO 身份验证。

• PAN OS V8.1+
• DUO MFA.

1. 在 "设备>服务器配置文件"下配置多因素身份验证服务器配置文件，此配置文件定义了防火墙如何与提供商连接和通信 MFA 。 在我们的情况下，我们使用 DUO ，所以它要求我们从 API 受保护的应用程序获得主机，集成密钥和秘密密钥 DUO 。

1. 下载证书并在证书选项卡中导入如下 firewall ：

2. 创建证书配置文件并 CA 根据需要添加根证书，然后在多因素身份验证服务器配置文件中使用此配置文件。

2. 创建 一个身份验证配置文件，用于对捕获的门户用户进行身份验证，在此配置文件中，我们将添加两个身份验证步骤，第一个身份验证将使用本地 RADIUS 身份验证 LDAP 或任何其他类型的身份验证，在此示例中我们使用了本地身份验证。

3. 创建身份验证强制对象，指定用于验证访问您的网络资源的最终用户的方法和服务

4. 在身份验证下 Policy 创建一个与流量相匹配的规则，以调用身份验证方法和服务，并将身份验证执行应用如下：

5. 生成与身份验证中的规则相匹配的流量 Policy ， firewall 然后将使用重定向到捕获门户网页，用户需要输入以下第一个身份验证的凭据：
   1. 生成与身份验证中的规则匹配的流量

2. 然后， firewall 将要求 MFA 供应商使用配置的程序（如 OTP 移动应用程序上的自动推送）对用户进行身份验证 DUO 。

3. 一旦用户通过第二个身份验证，将允许用户访问预期资源。

6. 若要监视身份验证结果，可以转到"监视>"以检查第一个和第二个身份验证试验结果，子类型选项卡将定义使用的身份验证类型。