Authentifizieren von Benutzern mithilfe des Captive-Portals für Nicht-http/https-Datenverkehr

Authentifizieren von Benutzern mithilfe des Captive-Portals für Nicht-http/https-Datenverkehr

25601
Created On 01/11/21 14:00 PM - Last Modified 06/01/23 09:48 AM


Objective



In diesem Artikel werden die verfügbaren Konfigurationsoptionen erläutert, die wir in Palo Alto Networks implementieren können, firewall wenn wir einen Authentifizierungsmechanismus benötigen, während Benutzer versuchen, auf Ressourcen hinter den firewall Protokollen über nicht http/https zuzugreifen. 

 

Procedure


Wir haben die folgenden Optionen, um das Ziel zu erreichen:
  1. Wir können die Authentifizierung policy mit MFA (Multi Factor Authentication) und die MFA in Verbindung mit GP (Global Protect) verwenden. GP Client würde dem Benutzer einen Link präsentieren, der die MFA Anmeldeseite wäre.

    Weitere Informationen zur erforderlichen Konfiguration finden Sie auf den folgenden Links:

           Konfigurieren, GlobalProtect um Multi-Factor Authentication Notifications zu vereinfachen

           Duo Multi-Factor Authentication ( MFA )

           GlobalProtect: Authentifizierung Policy mit MFA

           Konfigurieren der Multi-Factor-Authentifizierung

       2. Eine weitere Möglichkeit besteht darin, dass die Endbenutzer manuell auf die Portalseite gehen und sich authentifizieren. Nach der Authentifizierung wird
ihnen der Zugriff basierend auf ihrem Benutzer-/Gruppennamen gewährt.
     
Dies funktioniert wie folgt:

  • Die Benutzer sollten auf das Captive-Portal zugreifen, indem sie die URL https://1.1.1.1:6082/php/uid.php?vsys=1&rule=0 eingeben; wobei:
    1.1.1.1 => IP Adresse des Captive-Portals 1.1.1.1
    vsys=1 => Die ID der vsys ist 1, wo die Authentifizierung policy konfiguriert ist
    rule=0 => Die ID der Regel ist 0, die die erste policy (Index = 1) unter Richtlinien > Authentifizierung mit der Web-Formularauthentifizierungsmethode ist.
     
  • Sie versuchen dann, auf die erforderliche Ressource zuzugreifen, und der Datenverkehr wird pro Benutzer-/Gruppenrichtlinien zugelassen oder verweigert.

Hinweis:
- Wenn wir kein SSL / TLS Dienstprofil zuweisen, verwendet der firewall Port 6081 und das firewall Standardzertifikat von .. Die firewall verwendet TLS standardmäßig 1.2. Um
eine andere Version verwenden TLS zu können, müssen wir ein SSL TLS /Service-Profil konfigurieren und die Version auswählen, die TLS wir verwenden möchten.
- Wenn wir ein SSL / TLS Service-Profil zuweisen, verwendet der firewall Port 6082.Das ist das Port-Captive-Portal, das beim Senden der ersten 302-Umleitungsnachricht verwendet wird.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCEzCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language