如何验证用户使用强制门户的非 http/https 流量
25597
Created On 01/11/21 14:00 PM - Last Modified 06/01/23 09:48 AM
Objective
本文将讨论我们可以在 Palo Alto 网络上实现的可用配置选项, firewall 如果我们想要有一个身份验证机制,而用户正试图 firewall 通过非 http/https 协议访问后面的资源。
Procedure
我们有以下选项来实现目标:
- 我们可以使用认证 policy 与 MFA (多因素认证),并 MFA 可以与 GP (全球保护)一起使用。 GP 客户端将向用户提供一个链接,这将是 MFA 登录页面。
有关如何进行必要配置的信息,请参阅以下链接:
GlobalProtect: 身份验证 Policy 与 MFA
配置多重身份验证
2. 另一种选择是让最终用户手动访问强制门户页面并进行身份验证。 身份验证后,将基于
用户/组名称授予他们访问权限。
其工作原理如下:
- 用户应通过键入 https://1.1.1.1:6082/php/uid.php?vsys=1&rule=0 访问俘虏门户 URL ;其中:
俘虏门户的 1.1.1.1 => IP 地址为 1.1.1.1
vsys=1 = > vsys 的 ID 是 1,其中身份验证 policy 被配置
为规则 =0 => 规则的 ID 是 0,这是 policy 使用 Web 形式身份验证方法进行策略>身份验证下的第一个(索引 = 1)。
- 然后,他们将尝试访问必要的资源,并且每个用户/组策略将允许或拒绝流量。
注:-
如果我们不分配 SSL / TLS 服务配置文件, firewall 则使用端口6081和 firewall 默认证书。 firewall默认情况下使用 TLS 1.2。 为了
使用不同的 TLS 版本,我们需要配置 SSL / TLS 服务配置文件并选择 TLS 我们要使用的版本。
-如果我们分配/ SSL TLS 服务配置文件, firewall 则使用端口6082。这是端口捕获门户在发送第一个 302 重定向消息时使用的。