Konfiguration von Palo Alto Network VPN für das RADIUS-Protokoll von LastPass Universal Proxy

Die offizielle Version dieses Inhalts ist auf Englisch. Einige Inhalte der GoTo-Dokumentation wurden maschinell übersetzt, um den Zugriff zu erleichtern. GoTo hat keine Kontrolle über maschinell übersetzte Inhalte. Diese können Fehler, Unstimmigkeiten oder unangemessene Sprache enthalten. Es gibt keine Garantie, weder ausdrücklich noch stillschweigend, hinsichtlich der Exaktheit, Zuverlässigkeit, Eignung oder Fehlerfreiheit von Übersetzungen der englischen Originaltexte in eine andere Sprache, und GoTo kann nicht haftbar gemacht werden für etwaige Schäden oder Probleme, die sich aus der Verwendung dieser maschinell übersetzten Inhalte oder dem Vertrauen auf diese Inhalte ergeben könnten.

Konfiguration von Palo Alto Network VPN für das RADIUS-Protokoll von LastPass Universal Proxy

Über diese Aufgabe:

Hinweis: Nur die Modi Password Authentication Protocol (PAP) und Challenge Handshake Authentication Protocol (CHAP) werden vom Dienst unterstützt.

Aktivieren der Cookie-Generierung auf dem GlobalProtect Portal

Gehen Sie zu Network > GlobalProtect > Portals.
Öffnen Sie Portal Profile.
Klicken Sie auf die Registerkarte Agent und dann auf Agent config.
Aktivieren Sie im Fenster Configs auf der Registerkarte Authentication das Kontrollkästchen Generate cookie for authentication override
Klicken Sie auf OK.

Aktivieren von Cookies im GlobalProtect Gateway

Navigieren Sie zu Netzwerk > GlobalProtect > Gateways
Öffnen Sie Gateway Profile.
Klicken Sie auf die Registerkarte Agent
Klicken Sie auf die Registerkarte Client Settings und öffnen Sie Client Config.
Aktivieren Sie im Fenster Configs auf der Registerkarte Authentication Override das Kontrollkästchen Accept cookie for authentication override
Klicken Sie auf OK.

Stellen Sie das Verbindungs-Zeitlimit für GlobalProtect auf dem Palo Alto-Server auf 60 Sekunden ein.

Erhöhen Sie das Zeitlimit für die Authentifizierung auf 60 Sekunden.

Hinweis:

Da die LastPass Authenticator-App Push-Benachrichtigung Zeitüberschreitung ist 60 Sekunden, auf 60 Sekunden eingestellt.

Der Authentifizierungs-Zeitlimit wird berechnet als Verbindungs-Zeitlimit minus 5 Sekunden. Das Standard-Zeitlimit für die Verbindung beträgt 30 Sekunden, damit ist das Standard-Zeitlimit für die Authentifizierung 25 Sekunden.

Sie können die Einstellungen für das Authentifizierungs-Zeitlimit nur über die Befehlszeile ändern:

Verbinden Sie sich per SSH über die Befehlszeile mit dem Palo Alto-Server.
Geben Sie den folgenden Befehl ein, um den Standard-Timeout-Wert auf 60 Sekunden zu erhöhen:
```
vpnadmin@paloaltovpntest> configure
Entering configuration mode
[edit]
vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
[edit]
vpnadmin@paloaltovpntest# commit
```
Hinweis: Um das Zeitlimit auf 60 Sekunden zu setzen, stellen Sie wegen der Berechnungsweise des Servers timeout 65 ein.
Geben Sie den folgenden Befehl ein, um die zuvor geänderten Einstellungen zu überprüfen:
```
vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect
```
Ergebnis:
Bei korrekter Einstellung erscheint das folgende Ergebnis:

global-protect { timeout 65; }

Hinzufügen eines RADIUS-Server-Profils

Gehen Sie im Palo Alto Network-Administrationsportal zu Device > Server Profiles > RADIUS
Klicken Sie auf Add, um ein neues RADIUS-Server-Profil hinzuzufügen.
1. Geben Sie im Feld Profilname einen Profilnamen ein.
2. Stellen Sie im Gruppenfeld Servereinstellungen Folgendes ein:
  
  Timeout (sec)
  
  61
  
  Retries
  
  1
  
  Authentication Protocol
  
  PAP
Klicken Sie im Gruppenfeld Servers auf Add.
1. Geben Sie einen Namen ein, um den Server zu identifizieren.
2. Geben Sie IP-Adresse oder FQDN für den RADIUS-Server ein.
3. Geben Sie den geheimen RADIUS-Schlüssel ein. Dieser muss mit dem Schlüssel übereinstimmen, der in der Universal-Proxy-Konfiguration festgelegt wurde.
4. Geben Sie eine Port-Nummer ein, Standard ist 1812 für die Authentifizierung.
Klicken Sie auf OK, um das Serverprofil zu speichern.

Weisen Sie das RADIUS-Serverprofil einem Authentifizierungsprofil zu:
Wählen Sie Authentication Profile in der linken Navigation.
Klicken Sie auf Add.
Geben Sie einen Namen für das Authentifizierungsprofil ein. Dieser wird der GlobalPortal-Konfiguration zugewiesen
Stellen Sie auf der Registerkarte Authentifizierung Folgendes ein:
- Wählen Sie für das Dropdown-Menü Type die Option RADIUS.
- Wählen Sie im Dropdown-Menü Server Profile das zuvor konfigurierte RADIUS-Profil aus.
Klicken Sie im Fenster Authentication Profile auf die Registerkarte Advanced.
Fügen Sie im Gruppenfeld Allow List die Benutzer und Gruppen hinzu, die sich mit diesem Authentifizierungsprofil authentifizieren dürfen.
Klicken Sie auf OK, um das Authentifizierungsprofil zu speichern.

Ergebnisse: Sie haben nun die RADIUS-Authentifizierung für Ihr Palo Alto VPN konfiguriert.