product icon

Configuração da VPN do Palo Alto Network para o protocolo RADIUS do LastPass Universal Proxy

    Observação: somente os modos Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP) são compatíveis com o serviço.

    Ativar a geração de cookies no portal GlobalProtect

    1. Acesse Network > GlobalProtect > Portals.
    2. Abra seu Portal Profile.
    3. Clique na guia Agent e clique em Agent Config.
    4. Na janela Configs, guia Authentication, marque a caixa de seleção Generate cookie for authentication override.
    5. Clique em OK.

    Ativar a aceitação de cookies no gateway GlobalProtect

    1. Acesse Network > GlobalProtect > Gateways.
    2. Abra seu Gateway Profile.
    3. Clique na guia Agent.
    4. Clique na guia Client Settings e abra Client Config.
    5. Na janela Configs, guia Authentication Override, marque a caixa de seleção Accept cookie for authentication override.
    6. Clique em OK.

    Definir o tempo limite da conexão GlobalProtect para 60 segundos no servidor Palo Alto

    Aumente o tempo limite de autenticação para 60 segundos.

    Observação:

    Como o Autenticador LastPass o tempo limite de notificação push é de 60 segundos, definido como 60 segundos.

    O tempo limite de autenticação é calculado da seguinte maneira: tempo limite de conexão definido - 5 segundos. O tempo limite padrão é 30 segundos, o que, por sua vez, deixa o tempo limite de autenticação padrão como 25 segundos.

    Você só pode alterar as configurações de tempo limite de autenticação a partir da CLI:

    1. SSH no servidor Palo Alto a partir da linha de comando.
    2. Execute o seguinte comando para aumentar o tempo limite padrão para 60 segundos: 

      vpnadmin@paloaltovpntest> configure
Entering configuration mode
[edit]
vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
[edit]
vpnadmin@paloaltovpntest# commit
      Observação: Para definir o tempo limite para 60 segundos, você deve adicionar timeout 65, 5 segundos a mais, devido ao cálculo do servidor.

    3. Execute o seguinte comando para verificar as configurações modificadas anteriormente: 

      vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect

      Resultado:

      Se estiver definida corretamente, o seguinte resultado será exibido:

      global-protect {
  timeout 65;
}

    Adicionar um perfil de servidor RADIUS

    1. No portal de administração do Palo Alto Network, acesse Device > Server Profiles > RADIUS.
    2. Clique em Add para adicionar um novo perfil de servidor RADIUS.

      1. No campo Profile Name, insira um nome de perfil.
      2. Na caixa de grupo Server Settings, configure o seguinte:

        Timeout (sec)
        61
        Retries
        1
        Authentication Protocol
        PAP

    3. Na caixa de grupo Servers, clique em Add.
      1. Insira um nome (Name) para identificar o servidor.
      2. Insira o endereço IP ou o FQDN do servidor RADIUS.
      3. Insira o segredo (Secret) RADIUS, que deve ser o mesmo segredo definido na configuração do Universal Proxy.
      4. Insira o número da porta (Port), o padrão é 1812 para autenticação.
    4. Clique em OK para salvar o perfil de servidor.

      Atribuir o perfil de servidor RADIUS a um perfil de autenticação:

    5. Selecione Authentication Profile no painel de navegação à esquerda.
    6. Clique em Add.

    7. Insira um nome ( Name ) para o perfil de autenticação, ele será atribuído à configuração do GlobalPortal.
    8. Na guia Authentication, configure o seguinte:
      • No menu suspenso Type, selecione RADIUS.
      • No menu suspenso Server Profile, selecione o perfil RADIUS configurado anteriormente.
    9. Na janela Authentication Profile, clique na guia Advanced.
    10. Na caixa de grupo Allow List, adicione (Add) os usuários e grupos autorizados a se autenticar com esse perfil de autenticação.
    11. Clique em OK para salvar o perfil de autenticação.
    Pronto! A autenticação RADIUS para a VPN do Palo Alto está configurada.
    Artigos relacionados