X-Qu’est-ce que le support Auth dans les PAN pare-feu et comment le dépanner ?

• Qu’est-ce X- qu’Auth?
• Comment dépanner X- auth?

• Pare-feu Palo Alto Networks fonctionnant PAN-OS 8.1 et au-dessus
• Cela suppose que le client dispose déjà Globalprotect d’un portail et d’une passerelle, et a activé X- le support Auth sur la Passerelle. Cette configuration est située à Network >> Gateways >> Agent >> Tunnel Settings >> Enable X- Auth Support
• Il suppose également que le client a configuré l’application client tiers VPN correctement.

• Xauth (Authentification étendue à IKE l’intérieur) est ce que Palo Alto Networks utiliser pour prendre en charge les logiciels VPN tiers en utilisant la Globalprotect passerelle.
• Il permet au client tiers de VPN s’authentifier à Globalprotect travers le profil auth dans le cadre de la IKE négociation.   
• IKE V.1 doit être utilisé sur les clients tiers.
• Clients IPSec pris en charge : Support VPN client tiers
• Le Réseau Palo Alto firewall utilise la cryptothèque OpenSSL - Référence : Fonctions GlobalProtect cryptographiques des applications
• Le client définit la configuration crypto dans l’application tierce, et tant que firewall les supports de ces paramètres (et le est PSK correct) phase IKE 1 et 2 devraient négocier avec succès.
• Globalprotect Les profils crypto iPsec ne sont pas utilisés pour les X- clients auth.
• L’appareil final met simplement en place un tunnel entre l’appareil lui-même et Globalprotect l’interface Gateway.  
• Le dépannage du tunnel se fait de la même manière que n’importe quel tunnel IPSec serait gênant. Veuillez consulter le document ci-dessous pour obtenir une liste des ressources disponibles.

• Voici la description de ce X- qu’Auth fait à partir du IETF site Web:

  [ IKE ] permet à un appareil de configurer une session sécurisée en utilisant une méthode
d’authentification bidirectionnelle à l’aide de clés pré-partagées ou
de certificats numériques. Cependant [ IKE ] ne fournit pas une méthode pour tirer parti des méthodes
d’authentification héritées qui sont largement déployées
aujourd’hui.

Ce document décrit une méthode d’utilisation des mécanismes
d’authentification unidirectionnels RADIUS existants tels que , SecurID, et dans le protocole de OTP
l’IPsec. ISAKMP Le but de ce projet n’est pas de
remplacer ou d’améliorer les mécanismes d’authentification existants décrits dans [], mais plutôt de leur permettre
IKE d’être étendus à l’aide de mécanismes
d’authentification hérités.

Ce protocole est conçu de telle sorte que l’authentification étendue
peut être réalisée en utilisant n’importe quel mode de fonctionnement pour la phase 1 (c’est-à-dire le mode principal ou le mode agressif) ainsi que toute méthode
d’authentification
prise en charge par [ IKE ]. Ce protocole peut également être facilement étendu pour prendre en charge de
nouveaux modes ou méthodes d’authentification. Ce protocole exige toutefois
que la méthode d’authentification de phase 1 soit entièrement
sécurisée.