基本-GlobalProtect -configure-with-Pre-Logon-then-On-Demand

基本-GlobalProtect -configure-with-Pre-Logon-then-On-Demand

30783
Created On 05/03/21 19:20 PM - Last Modified 07/19/23 17:34 PM


Objective


このドキュメントでは、GlobalProtectログオン前とオンデマンドの接続方法と必要な基本構成

Environment


  • GlobalProtectインフラストラクチャー
  • サポートされているエンドポイントOS

Procedure



Pre-logon then On-Demand は、エンドポイントにログインする前にユーザーを認証する Pre-logon 機能と、ユーザーが手動で外部ゲートウェイとの接続を確立できるようにする On-Demand 機能の両方を組み合わせた新しいハイブリッド接続方法です。その後の接続。

これは、ユーザーがパスワードを忘れた場合や、ヘルプ デスクでパスワードを変更し、ログオン前にネットワーク アクセスが必要な場合に役立ちます。VPNシステムにログインするためのトンネル。

以下の手順に従って、ログオン前のオンデマンド接続方法を使用してポータルのエージェント構成を構成してください。
注: これは、ネットワーク >GlobalProtect > ポータル > (適切なポータルの選択) > エージェント > (適切なエージェント構成の選択/作成)
  1. 認証
  • このクライアント構成に任意の名前を付けます
  • クライアント証明書 - なしのままにします。これは、認証目的でクライアント証明書をクライアントにプッシュする場合にのみ必要です。
  • ユーザー資格証明の保存 - はい (デフォルト)
  • (オプション) 認証オーバーライド: [認証オーバーライド用の Cookie を生成する] および [認証オーバーライド用の Cookie を受け入れる] のボックスをオンにします。 この Cookie は、[Cookie を暗号化/復号化する証明書] のドロップダウンから選択した任意の証明書を使用して暗号化/復号化できます。
ノート:ここでポータルの下で証明書が選択されている場合、Cookie の暗号化/復号化のために Gateway の構成の下で同じ証明書を選択する必要があります。
 
ユーザーが追加した画像
  1. 設定の選択基準
  • 選択する 'ログオン前」ドロップダウンメニューから
ユーザーが追加した画像
 
  1. 外部の
  • [外部ゲートウェイ] の下で、追加.それに任意の名前を付けます。
  • 住所 - 入力してくださいIP住所またはFQDNこれは、証明書の Common Name(CN ) またはサブジェクトの別名(SAN )。 この例では、「gp.portal-gw01.local」と入力します
を表示するスクリーンショットGlobalProtectポータルのエージェント ダイアログ ボックス。
  1. App
  • 「接続方法」ドロップダウン選択「ログオン前、オンデマンド」
ユーザーが追加した画像
  • ここでは、「シングル サインオンを使用する」構成はオプションです。
  • 構成、設定"Pr e-Logon Tunnel Rename Timeout(sec) (Windows のみ)"値を「0」にします。 A 値 0 は、ユーザーがエンドポイントにログオンしたときを意味します。GlobalProtect名前を変更する代わりに、ログオン前トンネルをすぐに終了します。 この場合、GlobalProtectユーザーがログオン前トンネル経由で接続できるようにする代わりに、ユーザーの新しいトンネルを開始します。 通常、この設定は、接続方法を [ログオン前] から [オンデマンド] に設定する場合に最も役立ちます。これにより、ユーザーは最初のログオン後に手動で接続を開始する必要があります。
ユーザーが追加した画像


注: 次の手順は、以前に作成したものとは異なる新しいクライアント構成を追加する必要がある場合にのみ必要です。
  1. 認証
  • このクライアント構成に任意の名前を付けます
  • クライアント証明書 - なしのままにします。これは、認証目的でクライアント証明書をクライアントにプッシュする場合にのみ必要です。
  • ユーザー資格証明の保存 - はい (デフォルト)
  • (オプション) 認証オーバーライド: [認証オーバーライド用の Cookie を生成する] および [認証オーバーライド用の Cookie を受け入れる] のボックスをオンにします。 この Cookie は、[Cookie を暗号化/復号化する証明書] のドロップダウンから選択した任意の証明書を使用して暗号化/復号化できます。
注: ここでポータルの下で証明書が選択されている場合、Cookie の暗号化/復号化のために Gateway の構成の下で同じ証明書を選択する必要があります。

ユーザーが追加した画像
 
  1. 設定の選択基準
  • 選択する 'どれでも'ドロップダウンから選択するか、特定のユーザー/ユーザー グループを追加します。
ユーザーが追加した画像
 
  1. 外部の
  • [外部ゲートウェイ] の下で、追加.それに任意の名前を付けます。
  • 住所 - 入力してくださいIP住所またはFQDNこれは、証明書の Common Name(CN ) またはサブジェクトの別名(SAN )。 この例では、「gp.portal-gw01.local」と入力します
を表示するスクリーンショットGlobalProtectポータルのエージェント ダイアログ ボックス。
 
  1. App
  • 「接続方法」ドロップダウン選択「ログオン前、オンデマンド」
ユーザーが追加した画像
  • ベスト プラクティスとして、有効にするSSOこれにより、ユーザーがエンドポイントにログインしたときに、正しいユーザー名がゲートウェイにすぐに報告されます。 もしもSSOが有効になっていない場合、Agent 設定パネルに保存されているユーザー名が使用されます。
  1. 選択するOK変更をコミットします
 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM4ACAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language