Basic--configuration-with-Pre-Logon-then-On-DemandGlobalProtect

Basic--configuration-with-Pre-Logon-then-On-DemandGlobalProtect

30795
Created On 05/03/21 19:20 PM - Last Modified 07/19/23 17:34 PM


Objective


In diesem Dokument werden die Verbindungsmethode vor der Anmeldung und dann auf Anforderung und die GlobalProtect erforderliche Grundkonfiguration erläutert.

Environment


  •  GlobalProtect Infrastruktur
  • Endpunkt mit Unterstützung OS 

Procedure



Die On-Demand-Funktion "Vorherige Anmeldung" ist eine neue Hybridverbindungsmethode, die sowohl Voranmeldefunktionen kombiniert, um den Benutzer zu authentifizieren, bevor er sich am Endpunkt anmeldet, als auch die On-Demand-Funktion, mit der Benutzer manuell eine Verbindung mit externen Gateways für nachfolgende Verbindungen herstellen können.

Dies ist nützlich, wenn Benutzer ihr Kennwort vergessen oder mit ihrem Helpdesk zusammenarbeiten, um ihr Kennwort zu ändern, und Netzwerkzugriff über einen Voranmeldetunnel VPN benötigen, um sich bei ihrem System anzumelden. 

Führen Sie die folgenden Schritte aus, um die Agentenkonfiguration des Portals mithilfe der Voranmeldung und der On-Demand-Verbindungsmethode zu konfigurieren:
Hinweis: Dies finden Sie, indem Sie unter Netzwerke > > Portale navigieren > (Geeignete Portale auswählen)) > Agent > GlobalProtect(Geeignete Agentenkonfiguration auswählen/erstellen).
  1. Authentifizierung
  • Geben Sie einen beliebigen Namen zu diesem Client-config
  • Client-Zertifikat - lassen Sie es auf keine, dies wird nur benötigt, wenn wir ein Client-Zertifikat zu Authentifizierungszwecken an den Client übertragen möchten.
  • Benutzeranmeldeinformationen speichern - Ja (Standard)
  • (Optional) Authentifizierung überschreiben: Aktivieren Sie die Kontrollkästchen "Generate Cookie für Authentifizierung überschreiben" und "Accept Cookies für Authentifizierung überschreiben". Dieses Cookie kann verschlüsselt/entschlüsselt mit jedem Zertifikat, das aus dem Drop-down "Zertifikats zum Verschlüsseln/entschlüsseln Cookie" ausgewählt ist.
Hinweis: Wenn hier im Portal ein Zertifikat ausgewählt ist, muss dasselbe Zertifikat unter Gateway-Konfiguration für das Verschlüsseln/Entschlüsseln des Cookies ausgewählt werden.
 
Benutzeriertes Bild
  1. Konfigurationsauswahlkriterien
  • Wählen Sie "Voranmeldung" aus dem Dropdown-Menü
Benutzeriertes Bild
 
  1. Äußerlich
  • Klicken Sie unter "Externe Gateways" auf Hinzufügen. Geben Sie ihm einen beliebigen Namen.
  • Adresse - Geben Sie die Adresse FQDN ein, auf IP die im Zertifikat Common Name() oder Subject Alternate Name(CNSAN) verwiesen wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"
Screenshot mit dem GlobalProtect Dialogfeld Agent des Portals.
  1. App
  • Wählen Sie im Dropdown-Menü " Verbindungsmethode " die Option " Voranmeldung dann On-Demand" aus.
Benutzeriertes Bild
  • Die Konfiguration "Single Sign-On verwenden" ist hier optional.
  • Konfigurieren Sie den Wert "Pre-Logon Tunnel Rename Timeout(sec) (Windows Only)" auf '0'. A Der Wert 0 bedeutet, dass der Tunnel vor der Anmeldung sofort beendet wird, anstatt ihn umzubenennen, GlobalProtect wenn sich der Benutzer am Endpunkt anmeldet. Initiiert in diesem Fall einen neuen Tunnel für den Benutzer, GlobalProtect anstatt dem Benutzer das Herstellen einer Verbindung über den Voranmeldetunnel zu ermöglichen. In der Regel ist diese Einstellung am nützlichsten, wenn wir die Verbindungsmethode auf Voranmeldung und dann auf Anforderung festlegen, wodurch der Benutzer gezwungen wird, die Verbindung nach der ersten Anmeldung manuell zu initiieren.
Benutzeriertes Bild


Hinweis: Die folgenden Schritte sind nur erforderlich, wenn Sie eine neue Clientkonfiguration hinzufügen müssen, die sich von der zuvor erstellten unterscheidet.
  1. Authentifizierung
  • Geben Sie einen beliebigen Namen zu diesem Client-config
  • Client-Zertifikat - lassen Sie es auf keine, dies wird nur benötigt, wenn wir ein Client-Zertifikat zu Authentifizierungszwecken an den Client übertragen möchten.
  • Benutzeranmeldeinformationen speichern - Ja (Standard)
  • (Optional) Authentifizierung überschreiben: Aktivieren Sie die Kontrollkästchen "Generate Cookie für Authentifizierung überschreiben" und "Accept Cookies für Authentifizierung überschreiben". Dieses Cookie kann verschlüsselt/entschlüsselt mit jedem Zertifikat, das aus dem Drop-down "Zertifikats zum Verschlüsseln/entschlüsseln Cookie" ausgewählt ist.
Hinweis: Wenn hier im Portal ein Zertifikat ausgewählt ist, muss dasselbe Zertifikat unter Gateway-Konfiguration für das Verschlüsseln/Entschlüsseln des Cookies ausgewählt werden.

Benutzeriertes Bild
 
  1. Konfigurationsauswahlkriterien
  • Wählen Sie "beliebig" aus dem Dropdown-Menü oder fügen Sie bestimmte Benutzer-/Benutzergruppen hinzu.
Benutzeriertes Bild
 
  1. Äußerlich
  • Klicken Sie unter "Externe Gateways" auf Hinzufügen. Geben Sie ihm einen beliebigen Namen.
  • Adresse - Geben Sie die Adresse FQDN ein, auf IP die im Zertifikat Common Name() oder Subject Alternate Name(CNSAN) verwiesen wurde. Wir geben Sie in diesem Beispiel "Gp.portal-Gw01.local"
Screenshot mit dem GlobalProtect Dialogfeld Agent des Portals.
 
  1. App
  • Wählen Sie im Dropdown-Menü " Verbindungsmethode " die Option " Voranmeldung dann On-Demand" aus.
Benutzeriertes Bild
  • Es wird empfohlen, diese Option in der zweiten Agentenkonfiguration zu aktivieren SSO , damit der richtige Benutzername sofort an das Gateway gemeldet wird, wenn sich der Benutzer am Endpunkt anmeldet. Wenn SSO diese Option nicht aktiviert ist, wird der gespeicherte Benutzername im Einstellungsfenster des Agenten verwendet.
  1. Auswählen OK und Übernehmen der Änderungen
 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM4ACAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language