GlobalProtectの多要素認証 (MFA) 設定

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Configure Palo Alto GlobalProtect with Azure Multi-Factor Authentication
https://live.paloaltonetworks.com/t5/Management-Articles/Configure-Palo-Alto-GlobalProtect-with-Azur...

 

AzureのRADIUS認証で多要素認証 (MFA) を使ったGlobalProtectの設定方法について記述します。設定の注意点として、AzureはPAP と MSCHAPv2 認証のみのサポートなので、Palo Alto Networks GlobalProtectでは、PAP認証方式のみ設定が可能です。

 

Azure MFA設定は、オンプレミスのMFA Server RADIUS(Microsoft推奨)を使用します。


注意: MFA Serverが既にインストールされており、ADとユーザー情報がSync済みであることを前提としています。

 

  1. Radius認証を有効にします。

  2. クライアント タブでは、Azure Multi-Factor Authentication RADIUS serviceがRADIUS リクエストを受け付けるポートをスタンダードポート以外にする必要がある場合、認証、アカウンティングポートを変更します。これはPalo Alto Networks上の設定も同様です。

  3. クライアント欄で、Addをクリック

    1.2.png


  4. Palo Alto Networks ファイアウォールのManagement IPAzure Multi-Factor Authentication Serverに認証するIPアドレスとして設定します。
  5. 名前を入力します(任意設定)
  6. 共有暗号鍵 (shared secret) を入力します。
  7. 'Require Multi-Factor Authentication user match' チェックボックスをクリック。
    もしユーザがAzure Multi-Factor Authenticationモバイルアプリ認証を使用していて、OATHのパスコードを、外線通話、SMS、プッシュ通知の際に利用したい場合は、‘Enable fallback OATH token’ チェックボックスをクリックします。 

 

large.png

 
8. Targetタブで、機器がドメインに参加している場合は‘Windows domain’を選択、そうでない場合は’LDAP bind’を選択します。

 image_thumb-test1.jpg 

 

GlobalProtect設定


注意Azure MFA SeverはPAPとMSCHAPv2のみのサポートです。GlobalProtectの設定で、PAP認証を設定する必要があります。デフォルト設定はAutoです。もし違う認証が選択された場合、authd.logに不正ユーザ名/パスワードのエラーメッセージのみが記録されます。

RADIUS CHAP認証モードをPAN-OS 7.0.3、それ以前で、CLI、WebUIから手動設定で外すオプションはありません。

PAN-OS 7.0.4以降では、以下のコマンドで、手動設定でRADIUS認証タイプを選択できます。

> set authentication radius-auth-type <auto|chap|pap>

 

  1. Palo Alto Networks ファイアウォールにログインします。
  2. Device> サーバー プロファイル > RADIUSに移動し、以下のプロファイルを作成します。

    a. プロファイル名 (Profile Name) -  MFA serverの名前
    b. 場所 (Location) - 共有 (Shared)
    c. タイムアウト (Timeout) – 30~60秒で、multi-factor認証、Radiusアクセス・リクエスト処理の送受信など、ユーザ認証に必要な時間(以下のスクリーンショットを参照)
    d. 再試行 (Retries) – 3回
    e. 追加 (Add) をクリックし、RADIUS ServerにWindows Azure Multi-Factor Authentication serverのFQDNもしくはIP アドレスと、以前に設定したshared secretを入力
    f. ポート (Port) - 1812 (デフォルト).

  3. Network > ゲートウェイ(ゲートウェイは設定済みであることが前提)
  4. 全般 > 認証プロファイルでステップ2で作成したプロファイルを選択

 

 4.png

 

5.png

  6.png

 

著者: smisra