About skobayashi

Symptoms キャプティブ ポータル(CP)  ユーザーは始めに必ずユーザー名とパスワードを入力することになります。しかし、キャプティブ ポータル ユーザーがHTTPS ウェブ サイトを訪問するとき、ユーザー名とパスワードを入力するページに遷移しません。結果として、パロアルトネットワークスのファイアーウォールはそのユーザーが誰であるかを認識しません。(これは、HTTPSセッションがキャプティブ ポータルのページをバイパスするためです。) Diagnosis 既知のユーザーにはno decrypt policy を使います。ユーザー名とパスワードを入力した後は既知のユーザーということになります。 無線を利用した未知のユーザーにはdecrypt policy を使って、HTTPSセッション/ウェブサイトを開いた際にキャプティブ ポータルのページが表示されるようにします。ユーザー名とパスワードを入力するまでは未知のユーザーであるため、SSL復号化により、キャプティブ ポータルがトリガーされます。 未知のユーザーに対する復号化ポリシーによって、ユーザーが訪問しようとしているウェブサイトとは別にキャプティブ ポータルのページが提供されます。  Solution 前提条件   SSL復号化の知識 キャプティブ ポータル(CP)の知識 動作しないときのシナリオ 無線用のゾーンから未知のユーザーがhttps://www.google.comを訪問しようとします。 SSLセッションであるため、キャプティブ ポータルがトリガーされません。 ファイアーウォールはユーザーを識別できず、キャプティブ ポータルのページも表示されません。   動作するときのシナリオ ユーザーがHTTPSでどこかのURLを訪問するときに必ずキャプティブ ポータルのページが表示されるように、SSL復号化の設定が必要です。 SSL復号化の設定はここをクリック キャプティブ ポータルの設定はここをクリック   以下のスクリーン ショットと記述を参考にしてください:       動作するときのシナリオ 復号化ポリシー 1は無線経由の既知ユーザーに対するno decryptポリシーです。 復号化ポリシー 2は無線のゾーンから来たすべてのトラフィックに対して復号化するポリシーです。   未知のユーザーが無線のゾーンからhttps://www.google.comにアクセスしようとします。 復号化ポリシー 2がトリガーされ、CPのページが表示されます。 未知のユーザーが別のHTTPSサイトにアクセスしようとしても、復号化ポリシーによって同じようにCPのページが表示されます。 ユーザーがユーザー名とパスワードを入力します。このユーザーは captive-portal-grpに属しています (ADでCPユーザーを認証します)。 この後はファイアーウォールはユーザーを認識でき、復号化ポリシー 1がトリガーされます。これにより既知のユーザーのこれ以降のトラフィックについては復号化されず、認証の警告ページは表示されません。 グループとゾーンを設定したセキュリティー ポリシーもそれぞれ必要です。グループを指定したポリシーは一番上に設定し、ゾーンを指定したポリシーはその下にくるようにしてください。   警告メッセージの説明 未知のユーザーは無線のゾーンからアクセスしてきますが、彼らにファイアーウォールの自己署名証明書をインストールする手段はないので、復号化の際に警告メッセージが表示されることになります。   もしサード パーティーの証明書をCP用に利用できるのであれば、ユーザー認証の後no decryptのルールが適用され、証明書の警告が表示されないようになります。   ありがとう。   Tarang Srivastav   ※この記事は以下の記事の日本語訳です。 Captive Portal Not Working with HTTPS sessions https://live.paloaltonetworks.com/t5/Management-Articles/Captive-Portal-Not-Working-with-HTTPS-Sessions/ta-p/78346   ... View more