Configuración de la VPN de Palo Alto Network para el protocolo RADIUS del LastPass Universal Proxy

La versión oficial de este contenido está en inglés. Parte del contenido de la documentación de GoTo se ha traducido automáticamente para facilitar el acceso. GoTo no tiene control sobre el contenido traducido automáticamente, y este puede contener errores, información inexacta o lenguaje inapropiado. No se ofrece ninguna garantía, ya sea explícita o implícita, de la precisión, la fiabilidad, la idoneidad o la corrección de cualquier traducción del original de inglés a otro idioma. Además, GoTo no se hace responsable de los daños y los problemas que se deriven del uso de este contenido traducido o de la confianza que surja a raíz de él.

Configuración de la VPN de Palo Alto Network para el protocolo RADIUS del LastPass Universal Proxy

Acerca de esta actividad:

Nota: El servicio solo es compatible con el protocolo de autenticación de contraseñas (PAP) y los modos de desafío del protocolo de autenticación (CHAP).

Habilitar la generación de cookies en el portal GlobalProtect

Vaya a Red > GlobalProtect > Portales.
Abra su perfil del portal.
Haga clic en la pestaña Agente y seleccione Configuración del agente.
En la ventana Configuraciones, en la pestaña Autenticación, marque la casilla Generar cookie para anular la autenticación.
Haga clic en Aceptar.

Habilitar la aceptación de cookies en el enlace de la puerta de enlace GlobalProtect

Vaya a Red > GlobalProtect > puertas de enlace.
Abra su perfil de puerta de enlace.
Haga clic en la pestaña Agente .
Haga clic en la pestaña Configuración del cliente y abra Configuración del cliente.
En la ventana Configuraciones, en Anular autenticación, marque la casilla Aceptar cookie para anular la autenticación.
Haga clic en Aceptar.

En el servidor Palo Alto, definir el tiempo de espera de la conexión de GlobalProtect a 60 segundos

Aumente el tiempo de espera de la autenticación a 60 segundos.

Nota:

Como la Aplicación LastPass Authenticator tiempo de espera de notificación push es de 60 segundos, establecido en 60 segundos.

El tiempo de espera de la autenticación se calcula como: configurar tiempo de conexión: 5 segundos. El tiempo de espera predeterminado es de 30 segundos, por lo que el tiempo de espera predeterminado para la autenticación es de 25 segundos.

Solo puede cambiar los ajustes de tiempo de espera de la autenticación en la CLI:

SSH en el servidor Palo Alto de la línea de comandos.
Ejecute el comando siguiente para aumentar el valor de tiempo de espera predeterminado a 60 segundos:
```
vpnadmin@paloaltovpntest> configure
Entering configuration mode
[edit]
vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
[edit]
vpnadmin@paloaltovpntest# commit
```
Nota: Para configurar el tiempo de espera en 60 segundos, debe añadir tiempo de espera 65 (5 segundos más) debido al cálculo del servidor.
Ejecute el siguiente comando para comprobar los ajustes que modificó previamente:
```
vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect
```
Resultado:
Si se han configurado correctamente, los siguientes filtros de resultados:

global-protect { timeout 65; }

Añadir un perfil de servidor RADIUS

En el portal de administración de Palo Alto Network, vaya a Dispositivo > Perfiles de servidor > RADIUS.
Haga clic en Añadir para añadir un nuevo perfil de servidor RADIUS.
1. En el campo Perfil y nombre, introduzca un nombre de perfil.
2. En el cuadro Configuración del servidor, defina lo siguiente:
  
  Tiempo de espera (s)
  
  61
  
  Reintentos
  
  1
  
  Protocolo de autenticación
  
  PAP
En el cuadro Servidores, haga clic en Añadir.
1. Introduzca un nombre para identificar el servidor.
2. Introduzca el FQDN o la dirección IP del servidor RADIUS.
3. Introduzca el secreto de RADIUS, que debe ser el mismo secreto que se indicó en la configuración del Universal Proxy.
4. Introduzca un número de puerto (el valor predeterminado es 1812 para autenticación).
Haga clic en Aceptar para guardar el perfil del servidor.

Asigne el perfil del servidor RADIUS a un perfil de autenticación:
Seleccione Perfil de autenticación en el menú de navegación de la izquierda.
Haga clic en Añadir.
Introduzca un nombre para el perfil de autenticación (se asignará a la configuración de GlobalPortal).
En la pestaña Autenticación, realice las siguientes operaciones:
- En el menú desplegable Tipo, seleccione RADIUS.
- En el menú desplegable Perfil del servidor, seleccione el perfil RADIUS que configuró anteriormente.
En la ventana Perfil de autenticación, haga clic en la pestaña Avanzado.
En el cuadro Permitir lista, añada los usuarios y grupos que pueden autenticarse con este perfil de autenticación.
Haga clic en Aceptar para guardar el perfil de autenticación.

Resultados: Ya ha configurado la autenticación RADIUS para su VPN de Palo Alto.