Cómo autenticar usuarios mediante el portal cautivo para el tráfico no http/https
Objective
Este artículo es para discutir las opciones de configuración disponibles que podemos implementar en Palo Alto Networks firewall si queremos tener un mecanismo de autenticación mientras los usuarios están tratando de acceder a los recursos detrás de los firewall protocolos a través de protocolos no http/https.
Procedure
- Podemos usar la autenticación policy con MFA (Multi Factor Authentication), y el MFA se puede utilizar junto con GP (Global Protect). GP cliente presentaría al usuario un enlace que sería la MFA página de inicio de sesión.
Puede consultar los siguientes enlaces para obtener más información sobre cómo realizar la configuración necesaria:
Configurar para facilitar las GlobalProtect notificaciones de autenticación multifactor
Autenticación multifactor Duo ( MFA )
GlobalProtect: Autenticación Policy con MFA
Configurar la autenticación multifactor
2. Otra opción es que los usuarios finales vayan manualmente a la página del portal cautivo y se autentiquen. Después de la autenticación se les concederá
acceso basado en su nombre de usuario/grupo.
Esto funciona de la siguiente manera:
- Los usuarios deben acceder al portal cautivo escribiendo el URL https://1.1.1.1:6082/php/uid.php?vsys=1&rule=0; donde:
1.1.1.1 => IP dirección del portal cautivo es 1.1.1.1
vsys=1 => El id del vsys es 1 donde la autenticación policy se configura
regla=0 => El id de la regla es 0 que es el primero policy (índice = 1) bajo directivas > autenticación usando el método de autenticación de formulario web.
- A continuación, intentarán acceder a los recursos necesarios y el tráfico se permitirá o denegará por usuario/directivas basadas en grupos.
Notas:
- Si no asignamos un SSL / Perfil de TLS servicio, el puerto de firewall usos 6081 y el firewall certificado predeterminado 's. El firewall uso TLS 1.2 de forma predeterminada. Para
utilizar una TLS versión diferente, necesitamos configurar un SSL perfil / servicio y seleccionar la versión que queremos TLS TLS utilizar.
- Si asignamos un SSL TLS / Perfil de servicio, el puerto de firewall usos 6082.Ese es el portal cautivo del puerto utiliza mientras envía el primer mensaje de redirección 302.