Comment authentifier les utilisateurs à l’aide d’un portail captif pour le trafic non http/https

Comment authentifier les utilisateurs à l’aide d’un portail captif pour le trafic non http/https

25609
Created On 01/11/21 14:00 PM - Last Modified 06/01/23 09:48 AM


Objective



Cet article est de discuter des options de configuration disponibles que nous pouvons implémenter sur Palo Alto Networks firewall si nous voulons avoir un mécanisme d’authentification pendant que les utilisateurs essaient d’accéder aux ressources derrière les firewall protocoles via non-http/https. 

 

Procedure


Nous avons les options suivantes pour atteindre l’objectif :
  1. Nous pouvons utiliser policy l’authentification MFA avec (Authentification multifaction), et MFA le peut être utilisé en conjonction GP avec (Global Protect). GP client présenterait à l’utilisateur un lien qui serait la MFA page de connexion.

    Vous pouvez vous référer aux liens suivants pour plus d’informations sur la façon de faire la configuration nécessaire:

           Configurer GlobalProtect pour faciliter les notifications d’authentification multifacteurs

           Duo Multi-Factor Authentification ( MFA )

           GlobalProtect: Authentification Policy avec MFA

           Configurer l’authentification multifaction

       2. Une autre option est d’avoir les utilisateurs finaux allant manuellement à la page du portail captif et s’authentifier. Après l’authentification, ils auront
accès en fonction de leur nom d’utilisateur/groupe.
     
Cela fonctionne comme ci-dessous:

  • Les utilisateurs doivent accéder au portail captif en tapant URL le https://1.1.1.1:6082/php/uid.php?vsys=1&rule=0; où :
    1.1.1.1 => IP adresse du portail captif est 1.1.1.1
    vsys=1 => Le id des vsys est 1 où l’authentification policy est configurée
    rule=0 => L’id de la règle est 0 qui est le premier policy (index = 1) sous les stratégies > Authentification à l’aide de la méthode d’authentification web-forme.
     
  • Ils essaieront alors d’accéder aux ressources nécessaires et le trafic sera autorisé ou refusé par utilisateur/groupe en fonction des politiques.

Notes:
- Si nous n’assignons pas un SSL / Profil de TLS service, le port firewall d’utilisation 6081 et firewall le certificat par défaut. Les firewall TLS utilisations 1.2 par défaut. Afin
d’utiliser une TLS version différente, nous devons configurer un SSL / Profil de service et TLS sélectionnez la version que nous voulons TLS utiliser.
- Si nous assignons un SSL / TLS Profil de service, le port firewall d’utilisation 6082.C’est le port captif portail utilise tout en envoyant le premier message de redirection 302.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCEzCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language