証明書のみを使用したGlobalProtectの認証設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure GlobalProtect for Authentication Using Only Certificates(訳注1

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-for-Authe...

 

概要

この文書は証明書のみを使用したGlobalProtectの認証の設定手順を記載します。ユーザーはログインのための入力を促されることはありません。

 

手順

  1. [Device] > [証明書の管理] > [証明書プロファイル] で証明書プロファイルを作成します。
    [ユーザー名フィールド]が'サブジェクト'かつ右隣のグレーアウトされた欄が"common-name'であることを確認しておいてください。[CA証明書]欄にCA証明書を追加します。

    Screen Shot 2013-06-24 at 8.22.09 PM.png
  2. 下図は作成した証明書の一例です。
    Screen Shot 2013-06-24 at 8.21.30 PM.png
  3. GlobalProtectゲートウェイを設定します。
    [認証プロファイル]をNoneとし、前述の手順1で設定した証明書プロファイルを[証明書プロファイル]設定します。
    Screen Shot 2013-06-24 at 8.23.01 PM.png
  4. GlobalProtectポータルを設定します。
    [認証プロファイル]をNoneとし、[クライアント証明書]と[証明書プロファイル]を選択します。
    注:クライアント証明書をファイアウォールで生成するということは、該当のクライアント証明書をサポートする証明書基盤がネットワーク上で構築済みであることが前提とされます。あるいは[クライアント証明書]はマルチユーザー環境では必要なく、推奨されません。それぞれのユーザーが認証局から個別の証明書を受け取って使用する運用とするため、ユーザーの証明書を署名した認証局を設定した[証明書プロファイル]を使うほうが良いでしょう(訳注2)。
    Screen Shot 2013-06-24 at 8.23.20 PM.png
  5. [クライアントの設定]タブにて[シングル サインオンの使用(SSOの使用)]のチェックを外します。
    Screen Shot 2013-06-24 at 8.23.43 PM.png
  6. ルート証明書とクライアント証明書をクライアントPCのWindowsのローカルコンピュータの証明書ストア、またはMacOSのシステム キーチェーンにインストールします。
    注:クライアント マシン証明書をパロアルトネットワークスのデバイスからエクスポートするときはPKCS12ファイル フォーマットを選択する必要があります。
    localstore.png
  7. クライアント証明書をクライアントPCのWindowsの現在のユーサーの証明書ストア、またはMacOSの個人用キーチェーンにインストールします。
    userstore.png
  8. Global Protectクライアントではユーザー名とパスワードを入力する必要がなくなります。
    gp_nouser.png
  9. ファイアウォールで設定をコミットします。GlobalProtectクライアントは自動的にゲートウェイに接続します。該当のゲートウェイの[リモートユーザー]でクライアント証明書によるログインのユーザーが確認できます。
    clientcert_auth.png

 

訳注1:原文のComment欄では、証明書認証でのGlobalProtect使用について、設定時の注意事項も含めてディスカッションが継続して行われております。原文もあわせてご参照ください。

 

訳注2:PAN-OS 5.0以降では認証そのものは[証明書プロファイル]でおこなわれ、[クライアント証明書]に設定した証明書はクライアント-ポータル/ゲートウェイの双方向認証のために、Windows の現在のユーザーの証明書ストア、またはMacOS の個人用キーチェーン端末の証明書ストアにインストールされます。詳細はGlobal Protect管理者ガイドを御覧ください。

PAN-OS 5.0からの挙動についてはGP Portal No Longer Prompts for Client Certificates after PAN-OS v5.0.x Upgradeをご参照ください

 

 

著者:pvermuri