GlobalProtectの多要素認証 (MFA) 設定

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Configure Palo Alto GlobalProtect with Azure Multi-Factor Authentication
https://live.paloaltonetworks.com/t5/Management-Articles/Configure-Palo-Alto-GlobalProtect-with-Azur...

 

AzureのRADIUS認証で多要素認証 (MFA) を使ったGlobalProtectの設定方法について記述します。設定の注意点として、AzureはPAP と MSCHAPv2 認証のみのサポートなので、Palo Alto Networks GlobalProtectでは、PAP認証方式のみ設定が可能です。

 

Azure MFA設定は、オンプレミスのMFA Server RADIUS(Microsoft推奨)を使用します。


注意: MFA Serverが既にインストールされており、ADとユーザー情報がSync済みであることを前提としています。

 

  1. Radius認証を有効にします。

  2. クライアント タブでは、Azure Multi-Factor Authentication RADIUS serviceがRADIUS リクエストを受け付けるポートをスタンダードポート以外にする必要がある場合、認証、アカウンティングポートを変更します。これはPalo Alto Networks上の設定も同様です。

  3. クライアント欄で、Addをクリック

    1.2.png


  4. Palo Alto Networks ファイアウォールのManagement IPAzure Multi-Factor Authentication Serverに認証するIPアドレスとして設定します。
  5. 名前を入力します(任意設定)
  6. 共有暗号鍵 (shared secret) を入力します。
  7. 'Require Multi-Factor Authentication user match' チェックボックスをクリック。
    もしユーザがAzure Multi-Factor Authenticationモバイルアプリ認証を使用していて、OATHのパスコードを、外線通話、SMS、プッシュ通知の際に利用したい場合は、‘Enable fallback OATH token’ チェックボックスをクリックします。 

 

large.png

 
8. Targetタブで、機器がドメインに参加している場合は‘Windows domain’を選択、そうでない場合は’LDAP bind’を選択します。

 image_thumb-test1.jpg 

 

GlobalProtect設定


注意Azure MFA SeverはPAPとMSCHAPv2のみのサポートです。GlobalProtectの設定で、PAP認証を設定する必要があります。デフォルト設定はAutoです。もし違う認証が選択された場合、authd.logに不正ユーザ名/パスワードのエラーメッセージのみが記録されます。

RADIUS CHAP認証モードをPAN-OS 7.0.3、それ以前で、CLI、WebUIから手動設定で外すオプションはありません。

PAN-OS 7.0.4以降では、以下のコマンドで、手動設定でRADIUS認証タイプを選択できます。

> set authentication radius-auth-type <auto|chap|pap>

 

  1. Palo Alto Networks ファイアウォールにログインします。
  2. Device> サーバー プロファイル > RADIUSに移動し、以下のプロファイルを作成します。

    a. プロファイル名 (Profile Name) -  MFA serverの名前
    b. 場所 (Location) - 共有 (Shared)
    c. タイムアウト (Timeout) – 30~60秒で、multi-factor認証、Radiusアクセス・リクエスト処理の送受信など、ユーザ認証に必要な時間(以下のスクリーンショットを参照)
    d. 再試行 (Retries) – 3回
    e. 追加 (Add) をクリックし、RADIUS ServerにWindows Azure Multi-Factor Authentication serverのFQDNもしくはIP アドレスと、以前に設定したshared secretを入力
    f. ポート (Port) - 1812 (デフォルト).

  3. Network > ゲートウェイ(ゲートウェイは設定済みであることが前提)
  4. 全般 > 認証プロファイルでステップ2で作成したプロファイルを選択

 

 4.png

 

5.png

  6.png

 

著者: smisra