GlobalProtect Pre-Logon c предварительным входом в систему

Prelogon GlobalProtect – это функция, которая позволяет GlobalProtect аутентифицировать агент и устанавливать VPN-туннель к шлюзу GlobalProtect с использованием предварительно установленного сертификата устройства до того, как пользователь войдет в систему. Поскольку туннель уже установлен, могут выполняться сценарии домена. когда пользователь входит в систему, вместо использования кэшированных учетных данных.
До входа пользователя в систему не существует имени пользователя, связанного с трафиком. Поэтому создаются политики безопасности, необходимые для запуска базовых служб (DHCP, DNS, ACTIVE DIRECTORY).
После входа пользователя в систему и аутентификации VPN-туннель переименовывается, чтобы включить имя пользователя, чтобы можно было применять политику на основе пользователей и групп.
Предварительный вход в систему также активируется, когда пользователь выходит из системы. Поскольку в это время пользователь не связан, шлюз увидит это соединение, исходящее от общего имени пользователя, называемого «предварительный вход в систему». Как только пользователь входит в систему.
При предварительном входе в систему, когда агент подключается к порталу в первый раз, конечный пользователь должен пройти аутентификацию (через профиль сертификата, настроенный для проверки сертификата клиента, содержащего имя пользователя). После успешной аутентификации портал передает клиенту конфигурацию клиента вместе с файлом cookie, который будет использоваться для аутентификации портала для получения обновления конфигурации. Когда клиентская система пытается подключиться в режиме предварительного входа в систему, она использует файлы cookie для проверки подлинности на портале и получения конфигурации клиента перед входом в систему. Он подключится к шлюзу, указанному в конфигурации, и аутентифицируется с помощью сертификата своего устройства (как указано в профиле сертификата, настроенного на шлюзе) и установит VPN-туннель.
Брандмауэр Palo Alto Networks настроен с корневым сертификатом, корневым центром сертификации, который подписывает сертификат сервера и сертификат устройства. Экспортируя сертификат устройства (компьютера) и сертификат корневого центра сертификации на отдельное устройство, которое будет подключаться с помощью GlobalProtect.
Далее будет представлена рабочая конфигурацию GlobalProtect для предварительного входа в систему со следующими установками:

•    Аутентификация – локальная база данных и LDAP
•    Тот же интерфейс, служащий порталом и шлюзом.
•    Корневые, промежуточные и серверные сертификаты генерируются на PAN

Настройка сертификатов, необходимых для prelogon
1.    Создание корневого ЦС, промежуточного ЦС и сертификата сервера. Потом выпустим сертификаты для пользователя.

globalprotect prelogon

Сертификат сервера потребуется для профиля SSL / TLS

2.    Создать профиль SSL / TLS в разделе «Device»> «Управление сертификатами»> «Профиль службы SSL / TLS», ссылаясь на созданный выше «сертификат сервера». Для тестов используем TLSv1.0

3.    Создадим профиль аутентификации в разделе
•    Имя – дайте имя этому профилю аутентификации
•    Тип – выберите ldap (локальная база или радиус и т.д)
•    Вкладка «Дополнительно»> «Список разрешений»> «Добавить» – выбрать все (если есть группы, то можно ограничить их требуемыми группами)

4.    Создадим туннельный интерфейс в разделе Сеть> Интерфейсы> Туннель . Там укажим номер туннеля, виртуальный маршрутизатор и зону безопасности. Также создадим отдельную зону для VPN-трафика, поскольку это обеспечивт большую гибкость при тестировании.

1.       Настраиваем портал GlobalProtect

Зададим имя порталу и выберем интерфейс, который послужит порталом из выпадающего списка.

6.    Вкладка Аутентификация .
а. В разделе «Профиль службы SSL / TLS» в раскрывающемся списке выберите профиль SSL / TLS, созданный на шаге 2.
б. Аутентификация клиента > Добавить . Дайте ему любое имя, оставьте ОС на «Any».Под профилем аутентификации выберите профиль аутентификации, созданный на шаге 3. Выберем Профиль сертификата в самом нижнем поле.
с. Нажмите ОК, чтобы сохранить.

7.    Пользователи могут входить на портал следующими способами:
•    Портал содержит «профиль сертификата», но «нет» аутентификационных файлов cookie
•    Портал «не» содержит «профиль сертификата», но имеет «cookie-файлы авторизации».(В этом случае пользователь должен установить самое первое соединение GP, которое создаст два файла cookie: один для пользователя и другой для предварительного входа в систему. С этого момента предварительный вход будет работать.
•    Портал содержит как «профиль сертификата», так и «cookie-файлы авторизации».
В ходе тестирования был выделен следующий рабочий вариант выше.
8.    Вкладка «Agent»
Требуются две клиентские конфигурации, одна для предварительного входа в систему и вторая для любых пользовательских групп.

Для каждой конфигурации необходимо установить доверенные сертификаты. Далее рассмотрим настройки каждой конфигурации.
Pre-logon config    Добавить новый клиентский конфиг
а. Вкладка Аутентификация.

•    Сертификат клиента – не указывайте его, это понадобится только в том случае, если мы хотим передать любой сертификат клиента клиентам для проверки подлинности.
•    Сохранить учетные данные пользователя – Да (по умолчанию)
В портале выбран сертификат, этот же сертификат необходимо выбрать в конфигурации шлюза для шифрования / дешифрования cookie .
 б. Вкладка «Пользователь / группа пользователей». Выберите «pre-logon» из выпадающего списка

с. Вкладка «Шлюзы»
Адрес – введите IP-адрес или полное доменное имя, на которое ссылались в общем имени сертификата (CN)

д. Вкладка App
В раскрывающемся списке «Метод подключения » выберите « Pre-logon (всегда включен) ». А также выберем использовать единый вход – ДА.
е. Нажмите OK, чтобы сохранить.

Конфигурация клиента для пользователей Copy prelogon config создадим копию конфига. Затем заменим следующие значения:
б. Вкладка «Пользователь / группа пользователей». Выберите «любой» из выпадающего списка или добавьте определенных пользователей / группы пользователей.
После сохраним и закроем конфигурации портала.
Настроим профиль сертификата клиента
Импортируем сюда корневой сертификат и промежуточный.

Профиль сертификата определяет список CA и промежуточных CA. Когда этот профиль сертификата применяется к конфигурации, портал / шлюз отправляет клиенту запрос сертификата клиента, чтобы запросить сертификат клиента / компьютера, подписанный CA / промежуточным CA, указанным в профиле сертификата.  Рекомендуют размещать в этом профиле как корневой, так и промежуточный центры сертификации, а не только корневой центр сертификации. Реально работает только с промежуточным сертификатом!
Используется отдельный сертификат для пользователя и отдельный для машины. Соответственно для конфигурации с Pre-logon используем сертификат машины, а для user-logon сертификат пользователя.
(необязательно) Проверьте CRL или OCSP, если порталу / шлюзу необходимо проверить состояние отзыва сертификата клиента / компьютера с помощью CRL или OCSP.
Поле имени пользователя по умолчанию установлено на «Нет», в типичной настройке, где имя пользователя извлекается из аутентификации ldap
Настроим шлюз GlobalProtect
8. Перейдите в Сеть> GlobalProtect> Шлюзы> Добавить. Общие .

Зададим имя шлюзу и выберем интерфейс, который служит шлюзом из выпадающего списка.

9. Вкладка Аутентификация. Похожую настройку делали для портала ранее. Здесь для шлюза.
а. В разделе «Профиль службы SSL / TLS» в раскрывающемся списке выберите профиль SSL / TLS, созданный на шаге 2.
б. Аутентификация клиента> Добавить. Дайте ему любое имя, оставьте ОС на «Any». Под профилем аутентификации выберите профиль аутентификации, созданный на шаге 3.
с. Выберите созданный выше профиль сертификата из выпадающего
д. Нажмите OK, чтобы сохранить.

10. Агент Таб .
а. Настройки туннеля. Установите флажок «Туннельный режим» и выберите интерфейс туннеля, созданный раннее.
б. Включить IPSec . Установите этот флажок, чтобы включить IPSec, это важно. Если этот параметр включен, GP всегда будет пытаться сначала подключиться через IPSec, в случае неудачи GP возвращается к SSL.
с. Настройки тайм-аута – оставьте их по умолчанию.
д. Настройки клиента
Нажмите Добавить> Присвойте имя вкладке переопределения аутентификации.

 Переопределение аутентификации : установите флажки « Создать cookie для переопределения аутентификации» и «Принять cookie для переопределения аутентификации». Этот файл cookie может быть зашифрован / дешифрован с использованием любого сертификата, выбранного из раскрывающегося списка «Сертификат для шифрования / дешифрования cookie ».

Примечание . Если сертификат был выбран на шаге 7 в разделе «Портал», этот же сертификат необходимо выбрать здесь в разделе «Сертификат для шифрования / дешифрования cookie» шлюза.
е. Вкладка «Пользователь / группа пользователей». Оставим ОС и группу пользователей «Any»
Если из выпадающего списка выбрана группа, убедитесь, что пользователь GlobalProtect является частью этой группы, в противном случае клиент НЕ будет получать IP-адрес от шлюза.
е. Сетевые настройки.
Под «Ip-пулом»:  
Шлюз GlobalProtect будет назначать IP-адреса из этого пула клиентам. Укажим один или несколько диапазонов пулов IP, которые НЕ перекрывают ни одну из существующих сетей в организации.
Вы можете добавить второй диапазон пулов IP для резервного копирования, который будет полезен в случаях, когда пользователь подключает Wi-Fi, который предоставляет тот же диапазон пулов IP, что и ваш основной пул IP.
г. Доступ к  «маршруту» . Это определяет, какие подсети могут быть доступны клиентам GP после их подключения к шлюзу.
значение 0.0.0.0/0, т.е. весь трафик от клиента GP будет вынужден проходить через туннель GP.
Для раздельного туннелирования : укажите необходимые внутренние подсети, такие как 10.0.0.0/8, 192.168.x.0 / 24 и т. Д., Чтобы клиент GP использовал туннель для доступа только к этим подсетям. Все, что находится за пределами этих подсетей, будет доступно напрямую из локальной сети клиента, это называется разделенным туннелированием.
Для сохранения и закрытия настроек шлюза GP нажмем два раза ОК.
11. Создадим политики безопасности и NAT для вновь созданной зоны VPN, чтобы предоставить доступ соответствующим образом.
12. Закоммитем изменения.
Установка сертификата клиент / машина в конечный клиент
Это предварительный вход в систему, поэтому нам нужно использовать «машинный» сертификат.
При импорте сертификата компьютера импортируйте его в формате PKCS, который будет содержать его закрытый ключ (необходим пароль).
При установке на конечной точке потребуется корневой и промежуточный сертификат.
Windows 10/7
Протестировано на обоих версиях ОС. Официально поддержки с ВИН7 больше нет, прелогон больше не поддерживается, работает только агент для подключения к порталу.
1.    Нажмите Пуск> Выполнить, введите mmc, чтобы открыть консоль управления сертификатами Microsoft.
2.    Перейдите в Файл> Добавить / Удалить оснастку
3.    Нажмите Сертификаты> Добавить и выберите один или оба из следующих:
а. Чтобы добавить сертификат устройства (устройства) , выберите « Учетная запись компьютера ». Это используется для « предварительной регистрации », поскольку она аутентифицирует машину .
4.    Импортируйте машинный сертификат в MMC. Для импорта сертификата машины импортируйте его в «Личную» папку в разделе «Учетная запись компьютера».
5.    Аналогичным образом импортируйте корневой ЦС в «Доверенные корневые центры сертификации и промежуточные ЦС (если есть) в« Промежуточные центры сертификации ».
6. После импорта дважды щелкните импортированный сертификат машины, чтобы убедиться, чтоу него есть закрытый ключ и его цепочка сертификатов заполнена до корневого центра сертификации . Если в цепочке отсутствует корневой ЦС или промежуточный ЦС, импортируйте их в соответствующие папки, как описано в шаге 5.
7. На этом этапе сертификаты импортируются на клиент, вы можете закрыть консоль MMC, не сохраняя ее.

Для тестирования на клиентском компьютере
1. Из браузера перейдите по адресу https: //gp2.example.com
2. Введем учетные данные
3. Скачаем клиент GP (5.0.8)
4. В клиенте GP введем адрес и учетные данные портала, нажмем «Подключиться».
5. На межсетевом экране шлюза вы увидите, что фактический пользователь подключен.

6.    Выйдите из системы с этого компьютера, чтобы смоделировать ситуацию перед входом в систему.

7. На межсетевом экране шлюза вы увидите подключенного пользователя перед входом в систему.

8. Войдите в компьютер с действительным именем пользователя,
9. На межсетевом экране шлюза вы увидите, что предварительный вход в систему переименовывается для реального пользователя.
Дополнительно
Поддержка Агента
: Starting with GlobalProtect™ App 5.0.3
Поддержка ОС
: Windows 10
Настройка удаленного доступа VPN для отображения кнопки Prelogon при входе в Windows /
Для этого перейдем в реестр (путь: HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup\)
Изменим записи как на скриншоте ниже.

Для покупки оборудования Palo Alto и помощи в его профессиональной настройке вы всегда можете обратиться к нашим сертифицированным специалистам по телефону +7 (499) 444-81-80 или по электронной почте hello@meliorit.ru

Популярные товары Palo Alto

Опубликовано в рубрике Palo Alto