Configurazione della VPN Palo Alto Network per il protocollo RADIUS di LastPass Universal Proxy

La versione ufficiale di questo contenuto è in inglese. Alcuni dei contenuti della documentazione di GoTo sono stati tradotti per facilitarne l’accesso. GoTo non ha il controllo sui contenuti tradotti in modo automatico, che potrebbero contenere errori, imprecisioni o essere in una lingua errata. Non viene fornita alcuna garanzia, esplicita o implicita, in merito alla precisione, all’affidabilità, all’adeguatezza o alla correttezza di qualsiasi traduzione dall’originale inglese a qualsiasi altra lingua, e GoTo declina ogni responsabilità per eventuali danni o problemi derivanti dall’uso di questi contenuti tradotti automaticamente da parte dell’utente o per l’affidabilità di tali contenuti.

Configurazione della VPN Palo Alto Network per il protocollo RADIUS di LastPass Universal Proxy

Informazioni su questa procedura:

Nota: il servizio supporta esclusivamente le modalità PAP (Password Authentication Protocol) e CHAP (Challenge Handshake Authentication Protocol).

Abilita la generazione di cookie nel portale GlobalProtect

Vai a Network > GlobalProtect > Portals.
Apri Portal Profile.
Fai clic sulla scheda Agent e poi su Agent Config.
Nella finestra Configs, nella scheda Authentication, seleziona la casella di controllo Generate cookie for authentication override.
Fai clic su OK.

Abilita l’accettazione di cookie nel gateway GlobalProtect

Vai a Network > GlobalProtect > Gateways.
Apri Gateway Profile.
Fai clic sulla scheda Agent.
Fai clic sulla scheda Client Settings e apri Client Config.
Nella finestra Configs, nella scheda Authentication Override, seleziona la casella di controllo Accept cookie for authentication override.
Fai clic su OK.

Imposta il timeout di connessione di GlobalProtect su 60 secondi sul server Palo Alto

Porta il timeout di autenticazione a 60 secondi.

Nota:

Come app LastPass Authenticator il timeout delle notifiche push è di60 secondi, impostato su 60 secondi.

Il timeout di autenticazione viene calcolato come segue: timeout impostato per la connessione - 5 secondi. Il timeout predefinito è 30 secondi, per cui il timeout predefinito dell’autenticazione sarà di 25 secondi.

È possibile modificare solo le impostazioni di timeout di autenticazione da CLI:

SSH nel server Palo Alto dalla riga di comando.
Esegui il seguente comando per portare il valore di timeout predefinito a 60 secondi:
```
vpnadmin@paloaltovpntest> configure
Entering configuration mode
[edit]
vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
[edit]
vpnadmin@paloaltovpntest# commit
```
Nota: per impostare il timeout su 60 secondi, aggiungi timeout 65, ovvero 5 secondi di più per il calcolo del server sopra menzionato.
Esegui il seguente comando, per controllare le impostazioni modificate in precedenza:
```
vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect
```
Risultato:
Se impostato correttamente, vengono visualizzati i seguenti risultati:

global-protect { timeout 65; }

Aggiungi un profilo server RADIUS

Nel portale di amministrazione di Palo Alto Network, vai a Device > Server Profiles > RADIUS.
Fai clic su Add per aggiungere un nuovo profilo server RADIUS.
1. Nel campo Profile Name inserisci un nome di profilo.
2. Nella casella di gruppo Server Settings, imposta quanto segue:
  
  Timeout (sec)
  
  61
  
  Retries
  
  1
  
  Authentication Protocol
  
  PAP
Nella casella di gruppo Servers, fai clic su Add.
1. Inserisci un nome (Name) per identificare il server.
2. Inserisci l’indirizzo IP o il FQDN del server RADIUS.
3. Inserisci il segreto (Secret) di RADIUS che deve essere identico a quello impostato nella configurazione di Universal Proxy.
4. Inserisci un numero di porta (il numero predefinito è 1812 per l’autenticazione).
Fai clic su OK per salvare il profilo del server.

Assegna il profilo del server RADIUS a un profilo di autenticazione
Seleziona Profilo di autenticazione nel menu di navigazione a sinistra.
Fai clic su Aggiungi.
Inserisci un nome per il profilo di autenticazione; verrà assegnato alla configurazione di GlobalPortal.
Nella scheda Authentication, effettua le seguenti operazioni:
- Nel menu a discesa Type, seleziona LDAP.
- Nel menu a discesa Server Profile, seleziona il profilo RADIUS precedentemente configurato.
Nella finestra Authentication Profile, fai clic sulla scheda Advanced.
Nella casella di gruppo Allow List, aggiungi (Add) gli utenti e i gruppi ammessi per l’autenticazione con questo profilo di autenticazione.
Fai clic OK per salvare il profilo di autenticazione.

Risultati: Hai configurato l'autenticazione RADIUS per la VPN Palo Alto.