Básico:GlobalProtect configuración con inicio de sesión previo al inicio de sesión y luego a petición
47424
Created On 05/03/21 19:20 PM - Last Modified 07/19/23 17:34 PM
Objective
Este documento explicará el GlobalProtect método de conexión previa al inicio de sesión y luego a petición y la configuración básica requerida
Environment
- GlobalProtect Infraestructura
- Endpoint con soporte OS
Procedure
El método de conexión a petición previo al inicio de sesión y luego a petición es un nuevo método de conexión híbrida que combina capacidades previas al inicio de sesión para autenticar al usuario antes de iniciar sesión en el extremo y la capacidad a petición para permitir a los usuarios establecer una conexión con puertas de enlace externas manualmente para conexiones posteriores.
Esto es útil cuando los usuarios olvidan su contraseña o trabajan con su servicio de asistencia técnica para cambiar su contraseña y requieren acceso a la red a través de un túnel previo al inicio de VPN sesión para iniciar sesión en su sistema.
Siga los pasos que se indican a continuación para configurar la configuración del agente del portal mediante el método de conexión previa al inicio de sesión y a petición:
Nota: Esto se encuentra navegando en Redes > > portales > (Seleccione los portales apropiados) > > del agente (Seleccionar/Crear configuración de agente adecuada) GlobalProtect
- Autenticación
- Dar cualquier nombre a esta configuración de cliente
- Certificado de cliente: déjelo en ninguno, esto solo será necesario si queremos enviar cualquier certificado de cliente al cliente con fines de autenticación.
- Guardar credencial de usuario - Sí (predeterminado)
- (Opcional) Anulación de autenticación: Active las casillas de 'Generate cookie para anulación de autenticación' y 'Aceptar cookies para anulación de autenticación'. Esta cookie puede ser cifrado/descifrado usando cualquier certificado que se selecciona en el menú abajo del 'Certificado para cifrar/descifrar Cookie'.
Nota: Si se selecciona un certificado aquí en el portal, se debe seleccionar el mismo certificado en la configuración de Gateway para cifrar/descifrar cookie.
- Criterios de selección de configuración
- Seleccione 'pre-inicio de sesión' en el menú desplegable
- Externo
- En "Puertas de enlace externas", haga clic en Agregar. Dale cualquier nombre.
- Dirección: introduzca la dirección o la IP que se hizo referencia en el certificado Nombre común() o FQDN Nombre alternativo del sujeto(CNSAN) . En este ejemplo entramos ' gp.portal-gw01.local'
- App
- En el menú desplegable " Método de conexión", seleccione " Pre-Logon y luego On-Demand"
- La configuración 'Usar inicio de sesión único' es opcional aquí.
- Configure el valor " Pre-Logon Tunnel Rename Timeout(sec) (Windows Only)" en '0'. A Valor de 0 significa que cuando el usuario inicia sesión en el extremo, GlobalProtect finaliza inmediatamente el túnel previo al inicio de sesión en lugar de cambiarle el nombre. En este caso, GlobalProtect inicia un nuevo túnel para el usuario en lugar de permitir que el usuario se conecte a través del túnel previo al inicio de sesión. Normalmente, esta configuración es más útil cuando establecemos el método connect en Pre-logon y luego On-demand, lo que obliga al usuario a iniciar manualmente la conexión después del inicio de sesión inicial.
Nota: Los siguientes pasos solo son necesarios si necesita agregar una nueva configuración de cliente que difiera de la creada anteriormente.
- Autenticación
- Dar cualquier nombre a esta configuración de cliente
- Certificado de cliente: déjelo en ninguno, esto solo será necesario si queremos enviar cualquier certificado de cliente al cliente para fines de autenticación.
- Guardar credencial de usuario - Sí (predeterminado)
- (Opcional) Anulación de autenticación: Active las casillas de 'Generate cookie para anulación de autenticación' y 'Aceptar cookies para anulación de autenticación'. Esta cookie puede ser cifrado/descifrado usando cualquier certificado que se selecciona en el menú abajo del 'Certificado para cifrar/descifrar Cookie'.
Nota: Si se selecciona un certificado aquí en el portal, se debe seleccionar el mismo certificado en la configuración de Gateway para cifrar/descifrar cookie.
- Criterios de selección de configuración
- Seleccione 'cualquiera' en el menú desplegable o agregue usuarios / grupos de usuarios específicos.
- Externo
- En "Puertas de enlace externas", haga clic en Agregar. Dale cualquier nombre.
- Dirección: introduzca la dirección o la IP que se hizo referencia en el certificado Nombre común() o FQDN Nombre alternativo del sujeto(CNSAN) . En este ejemplo entramos ' gp.portal-gw01.local'
- App
- En el menú desplegable " Método de conexión", seleccione " Pre-Logon y luego On-Demand"
- Como práctica recomendada, habilite SSO en la configuración del segundo agente para que el nombre de usuario correcto se notifique inmediatamente a la puerta de enlace cuando el usuario inicie sesión en el endpoint. Si SSO no está activado, se utiliza el nombre de usuario guardado en el panel Configuración del agente.
- Seleccione OK y confirme los cambios
Additional Information
- Para obtener información sobre la guía de administración del método de conexión previa al inicio de sesión y luego el método de conexión bajo demanda, consulte el documento aquí
- Para obtener documentación sobre la configuración completa necesaria para el inicio de sesión previo, consulte el siguiente documento: