Permitir que Global proteja a los usuarios en función de diferentes países para grupos de usuarios
32986
Created On 07/17/22 16:53 PM - Last Modified 03/24/23 07:30 AM
Objective
- Permitir que los usuarios ejecutivos se conecten a Global protect desde cualquier país
- Permitir que todos los demás usuarios estén limitados a un país específico (Ejemplo -Australia)
Environment
- PaloAlto Firewall.
- Soportado PAN-OS.
- GlobalProtect Portal.
Procedure
Prerrequisitos:
- Preconfigurar grupos de usuarios para ejecutivos y otros usuarios,
- en el ejemplo, LDAP se utiliza para la autenticación. Los grupos de usuarios "executives" y "gp-users" están preconfigurados en Active Directory y las asignaciones de grupos se configuran en Paloalto Firewall.
- Iniciar sesión en GUI PaloAlto
- GUI: Perfil de autenticación > dispositivo > Nueva > crear un perfil, aquí se crea el perfil de autenticación con el tipo LDAP y se seleccionan todos los usuarios.
- Cree la configuración del agente para el grupo "ejecutivo" y seleccione el país como cualquiera
- GUI: > GlobalProtect de red > Portal > editar el perfil del portal > los criterios de selección del agente > configuración > "En Usuario/Grupo de usuarios", seleccione el grupo "ejecutivo".
- En la pestaña Externo > agregue > pública IP Seleccione Región de origen como "cualquiera"
- Cree la configuración del agente para el grupo "gp-users" y seleccione el país como cualquiera
- GUI: > GlobalProtect de red > Portal > editar el perfil del portal > los criterios de selección del agente > configuración > "En Usuario/Grupo de usuarios", seleccione el grupo "gp-users".
- En la ficha Externo > agregue > pública IP Seleccione Región de origen como "Australia" (AU)
- Mueva la configuración del agente para ejecutivos a la parte superior del pedido mediante el botón Subir
- Haga clic en ""OK y confirme la configuración
Nota: La configuración de la puerta de enlace es la misma que una configuración normal de Global Protect.