Prerrequisitos
Es necesario tener configurado un servidor de tipo NPS.
También es necesario haber creado una aplicación en el panel de gestión de Ironchip, de tipo HTTP-MFA, y añadir allí los usuarios que van a ser protegidos.
Creación de aplicación tipo HTTP-MFA
Configuración de Palo Alto
Configuración de un perfil de servidor RADIUS
Inicie sesión en la consola de administración de Palo Alto Networks con suficientes privilegios.
Vaya a Dispositivo > Perfil de servidor > Radius y luego haga clic en Agregar para definir un nuevo servidor RADIUS. Se abre la pantalla que se muestra a continuación:
Ingrese un nombre de perfil que sea único y apropiado, e ingrese la siguiente configuración del servidor, como se muestra arriba.
-
Tiempo de espera (seg): 60
-
Protocolo de autenticación: PAP
-
Reintentos: 1
Haga clic en Agregar en la pantalla que se muestra arriba para definir un servidor. Introduzca los siguientes ajustes:
-
Nombre: Nombre único y apropiado
-
Servidor Radius: dirección IP del servidor en el que instaló el agente Radius de Palo Alto anteriormente.
-
Secreto: El Radius Secret que definió en la aplicación Ironchip Protected Radius anterior.
-
Puerto: El puerto UDP que definió en la aplicación Palo Alto Radius anterior.
Haga clic en Aceptar para guardar la configuración.
Definir un perfil de autenticación para Palo Alto RADIUS Agent
Seleccione Dispositivo > Perfil de autenticación y luego haga clic en Agregar para definir un perfil de autenticación.
Haga clic en la pestaña Autenticación. Se abre la pantalla que se muestra a continuación.
Deje todas las configuraciones predeterminadas excepto:
-
Tipo: RADIO.
-
Perfil del servidor: ingrese el nombre del perfil del servidor que definió en el primer paso de esta sección.
Cuando haya terminado, haga clic en Aceptar.
En la pantalla Perfil de autenticación, seleccione la pestaña Avanzado.
En la pantalla que se muestra a continuación, seleccione Agregar para asignar una lista de permitidos. Luego, seleccione Todo de las opciones mostradas.
Haga clic en Aceptar para guardar la configuración. Haga clic en Confirmar para guardar el perfil de autenticación de RADIUS.
Abra el shell administrativo de Palo Alto Networks y pruebe el perfil de autenticación.
Aplicar el perfil de autenticación de RADIUS a una puerta de enlace
Seleccione Red > GlobalProtect > Puertas de enlace y abra su puerta de enlace GlobalProtect configurada.
Seleccione la pestaña Autenticación para definir la configuración de autenticación del cliente.
Haga clic en Agregar para actualizar la autenticación del cliente al perfil de autenticación Ironchip Protected RADIUS que acaba de configurar.
Deje la configuración predeterminada excepto por lo siguiente:
-
Nombre: Nombre único y apropiado.
-
Sistema operativo: cualquiera.
-
Perfil de autenticación: ingrese el perfil de autenticación que configuró anteriormente.
-
Mensaje de autenticación: Ingrese las instrucciones adecuadas para los usuarios finales, como “Ingresar las credenciales de inicio de sesión”.
Por último, vaya al apartado de Agent > Client Settings seleccione el perfil creado y seleccione el apartado Authetication Override y marque las dos casillas.
Haga clic en Aceptar para guardar la configuración.
Configure el portal GlobalProtect para usar el perfil de autenticación RADIUS
Nota: El paso aplica la misma configuración que acaba de aplicar a su puerta de enlace de GlobalProtect al portal de GlobalProtect.
Seleccione Red > GlobalProtect > Portales y abra su Portal GlobalProtect configurado. Seleccione la pestaña Autenticación para definir la configuración de autenticación del cliente . Haga clic en Agregar para actualizar la autenticación del cliente al perfil de autenticación Ironchip Protected RADIUS que acaba de configurar.
Deje la configuración predeterminada excepto por lo siguiente:
-
Nombre: Nombre único y apropiado.
-
Sistema operativo: cualquiera.
-
Perfil de autenticación: ingrese el perfil de autenticación que configuró anteriormente.
-
Mensaje de autenticación: Ingrese las instrucciones adecuadas para los usuarios finales, como “Ingresar las credenciales de inicio de sesión”.
Por último, vaya al apartado de Agent seleccione el perfil creado y seleccione el apartado Authetication y marque las dos casillas.
Haga clic en Aceptar para guardar la configuración.
Confirmar todas las configuraciones.
Haga clic en Confirmar para guardar la configuración de Ironchip RADIUS en la Consola de administración de Palo Alto Networks.
Por defecto las conexiones Radius están configuradas por la interfaz de Administración, aquí se muestra como cambiarlo.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGJCA0