De base--configuration-avec-pré-connexion-puis-à-laGlobalProtect demande
30787
Created On 05/03/21 19:20 PM - Last Modified 07/19/23 17:34 PM
Objective
Ce document explique la méthode de connexion à la demande avant ouverture de session puis à la demande et la GlobalProtect configuration de base requise
Environment
- GlobalProtect Infrastructure
- Point de terminaison avec prise en charge OS
Procedure
La méthode de connexion pré-ouverture de session puis à la demande est une nouvelle méthode de connexion hybride qui combine à la fois les fonctionnalités de pré-ouverture de session pour authentifier l’utilisateur avant qu’il ne se connecte au point de terminaison et la fonctionnalité à la demande pour permettre aux utilisateurs d’établir manuellement une connexion avec des passerelles externes pour les connexions suivantes.
Ceci est utile lorsque les utilisateurs oublient leur mot de passe ou travaillent avec leur service d’assistance pour modifier leur mot de passe et ont besoin d’un accès réseau via un tunnel de pré-ouverture de session VPN pour se connecter à leur système.
Suivez les étapes ci-dessous pour configurer la configuration de l'agent du portail à l'aide de la méthode de connexion à la demande avant ouverture de session puis à la demande :
Remarque : Pour ce faire, naviguez sous Réseaux > portails > > GlobalProtect (Sélectionner le(s) portail(s) approprié(s)) > Agent > (Sélectionner/Créer la configuration appropriée de l’agent)
- Authentification
- Donner un nom à cette configuration de client
- Certificat client - ne le laissez à aucun, cela ne sera nécessaire que si nous voulons pousser un certificat client au client à des fins d’authentification.
- Enregistrer les informations d’identification de l’utilisateur - Oui (par défaut)
- (Facultatif) Authentification de substitution : cochez les cases pour « Generate cookie pour l’authentification de substitution » et « Accept cookie pour l’authentification de substitution ». Ce cookie peut être chiffré/déchiffré à l’aide de tous les certificats qui sont sélectionné dans le menu déroulant vers le bas du « Certificat de cryptage/décryptage Cookie ».
Remarque: Si un certificat est sélectionné ici sous le portail, le même certificat doit être sélectionné sous la configuration de la passerelle pour crypter / décrypter le cookie.
- Critères de sélection de la configuration
- Sélectionnez « pré-ouverture de session » dans le menu déroulant
- Externe
- Sous « Passerelles externes », cliquez sur Ajouter. Donnez-lui n’importe quel nom.
- Adresse - Entrez l’adresse IP ou qui a été référencée dans le certificat Nom commun() ou FQDN Autre nom du sujet(CNSAN) . Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'
- App
- Sous la liste déroulante « Méthode de connexion », sélectionnez « Pré-connexion puis à la demande »
- La configuration 'Utiliser l'authentification unique' est facultative ici.
- Configurez la valeur « Pre-Logon Tunnel Rename Timeout(sec) (Windows uniquement) » sur '0'. A La valeur 0 signifie que lorsque l’utilisateur ouvre une session sur le point de terminaison, GlobalProtect il met immédiatement fin au tunnel de pré-ouverture de session au lieu de le renommer. Dans ce cas, GlobalProtect initie un nouveau tunnel pour l’utilisateur au lieu de permettre à l’utilisateur de se connecter via le tunnel de pré-ouverture de session. En règle générale, ce paramètre est particulièrement utile lorsque nous définissons la méthode de connexion sur Pré-ouverture de session puis À la demande, ce qui oblige l’utilisateur à lancer manuellement la connexion après l’ouverture de session initiale.
Remarque : Les étapes suivantes ne sont requises que si vous devez ajouter une nouvelle configuration client différente de celle créée précédemment.
- Authentification
- Donner un nom à cette configuration de client
- Certificat client - ne le laissez à aucun, cela ne sera nécessaire que si nous voulons pousser un certificat client au client à des fins d’authentification.
- Enregistrer les informations d’identification de l’utilisateur - Oui (par défaut)
- (Facultatif) Authentification de substitution : cochez les cases pour « Generate cookie pour l’authentification de substitution » et « Accept cookie pour l’authentification de substitution ». Ce cookie peut être chiffré/déchiffré à l’aide de tous les certificats qui sont sélectionné dans le menu déroulant vers le bas du « Certificat de cryptage/décryptage Cookie ».
Remarque: Si un certificat est sélectionné ici sous le portail, le même certificat doit être sélectionné sous la configuration de la passerelle pour crypter / décrypter le cookie.
- Critères de sélection de la configuration
- Sélectionnez « n'importe quel » dans la liste déroulante ou ajoutez des utilisateurs/groupes d'utilisateurs spécifiques.
- Externe
- Sous « Passerelles externes », cliquez sur Ajouter. Donnez-lui n’importe quel nom.
- Adresse - Entrez l’adresse IP ou qui a été référencée dans le certificat Nom commun() ou FQDN Autre nom du sujet(CNSAN) . Dans cet exemple, nous entrons dans ' gp.portal-gw01.local'
- App
- Sous la liste déroulante « Méthode de connexion », sélectionnez « Pré-connexion puis à la demande »
- Il est recommandé d’activer SSO la deuxième configuration de l’agent afin que le nom d’utilisateur correct soit immédiatement signalé à la passerelle lorsque l’utilisateur se connecte au point de terminaison. Si SSO cette option n’est pas activée, le nom d’utilisateur enregistré dans le panneau Paramètres de l’agent est utilisé.
- Sélectionnez OK et validez vos modifications
Additional Information
- Pour le guide d’administration de la méthode de connexion à la pré-ouverture de session puis à la demande, veuillez vous référer au document ici
- Pour obtenir de la documentation concernant la configuration complète requise pour la pré-ouverture de session, reportez-vous au document suivant :