自己署名証明書を使用した"Pre-Logon"方法でGlobalProtect SSOを設定する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure GlobalProtect SSO with Pre-Logon Access using Self-Signed Certificates

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-SSO-with-...

 

 

概要

本文書には、自己署名証明書を使用した"Pre-Logon"方法で、GlobalProtect SSOを設定する方法が記載されています。

 

手順

下記の設定例は、同じPalo Alto Networksデバイス上に、1つのポータルと1つのゲートウェイがある場合のものですが、複数のゲートウェイ設定に拡張することができます。ローカル データベース認証は今回の例のために使用されていますが、他の認証方法 (LDAP、Kerberos、Radiusなど) も適用することができます。

  1. ルート認証機関 (CA) 証明書をPalo Alto Networksデバイス上で生成します。これは、GlobalProtectポータルとゲートウェイ用のサーバー証明書に署名するために使われます。クライアント コンピューターに導入される、コンピュータ証明書も同様です。
    6-13-2013 10-08-02 AM.png
  2. サーバー証明書とコンピューター証明書を生成します。各証明書は、手順1で作成したCA証明書によって署名される必要があります。
    6-13-2013 10-10-33 AM.png
    6-13-2013 10-13-25 AM.png
  3. GlobalProtectに関連付けられたデバイスの証明書は、以下のように表示されます:
    6-13-2013 10-13-46 AM.png
  4. 証明書プロファイルを作成します。これは、CA証明書と相互に確認する際に、コンピューター証明書が有効かどうかを確認するために使われます。 CA証明書を追加する際は、CA証明書をリストから選択してください。
    6-13-2013 10-17-13 AM.png
  5. GobalProtect ポータルを以下のように作成します:
    1. "ポータル設定"にて、"ネットワーク設定"と"認証"を設定します。"サーバー証明書"には、上記の手順3で作成したサーバー証明書を選択します。"証明書プロファイル"には、手順4で作成したプロファイルを選択します。
      6-13-2013 10-19-21 AM.png
    2. "クライアント設定"にて、設定ファイルを作成します。これは、クライアントが最初に接続にしにいく際や、ネットワークの再検出をする際に、GlobalProtectのクライアントに展開されます。
      "接続方式"で"pre-logon"を選択し、クライアント用に"pre-logon"設定ファイルを作成します。"pre-logon"ユーザーを含むすべてのユーザーが同じ設定ファイルを取得できるように、"any"ユーザーの設定ファイルも作成します。"信頼されたルート CA"にて、手順1で作成したルートCAを追加します。この証明書は、接続しているエージェントに展開されます。
      6-25-2013 9-51-27 AM.png
  6. GlobalProtect ゲートウェイの設定例は以下のとおりです。GlobalProtect ポータルの設定で使われているものと同じ"サーバー証明書"と"証明書プロファイル"が使用されていることを確認します。
    6-13-2013 10-53-00 AM.png
  7. 下記図はGlobalProtect ゲートウェイの設定を表しており、tunnel.1 (L3-Trust ゾーン)にてユーザーを終端し、内部の信頼されたネットワーク (192.168.144.0/24) に対してだけ有効なアクセス ルートを持つ192.168.200.0/24 のスコープを使用する、という設定を表しています。
    6-13-2013 10-56-07 AM.png
  8. 次の手順は、ローカル コンピューター上の信頼された証明書に追加されることになる、コンピューター証明書をエクスポートすることです。"ファイル フォーマット"として"PKCS12"を使用し、パスフレーズを入力します。
    6-13-2013 11-06-18 AM.png
  9. クライアント コンピューター上で、上記でエクスポートしたコンピューター証明書をインポートします。下記図は、ローカル コンピューター上でのMMC証明書のスナップ インの使用方法を表しています。
    6-13-2013 1-50-06 PM.png
    6-13-2013 1-51-19 PM.png
  10. これにより、"Certificate Import Wizard"が起動します。以下の手順に従って、インポートを完了させます。今回の例における証明書の場合は、"PKCS12"というフォーマットでエクスポートされていました。正しい証明書が見つけられていることを確認します。
    6-13-2013 1-53-37 PM.png
  11. ローカル コンピューターの個人証明書ストアに、その証明書がインストールされていることを確認します。
    6-13-2013 1-55-37 PM.png
    6-13-2013 1-56-25 PM.png
  12. Syslogは、ユーザー資格情報を使ってエージェントが接続に成功している最初の接続を示しています。その後、コンピューターからログオフします。その後もコンピューターが続けて、"pre-logon"ユーザーとしてCA証明書によって有効だとされたコンピューター証明書を使って、GlobalProtectポータルとゲートウェイに問題なく接続できることを確認します。
    6-13-2013 1-59-50 PM.png

 

 

著者:rkalugdan