База знаний FAM/MFA+ : Настройка 2FA для Palo Alto Networks VPN

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Palo Alto Networks VPN. В инструкции описывается настройка 2FA для Palo Alto Networks VPN с использованием SAML-механизма системы Avanpost FAM в режиме совместимости интеграции с GlobalProtect . Функциональность доступна для веб-интерфейса и десктопного интерфейса PAN-OS.

Для Palo Alto Networks VPN с целью 2FA/MFA/SSO могут использоваться следующие факторы аутентификации:

Системные требования для интеграции Palo Alto Networks VPN с Avanpost FAM:

  • Сервер Avanpost FAM 1.3.0 или выше;

Перед началом настройки подключения VPN через GlobalProtect необходимо иметь инфраструктуру в виде:

  1. Оборудование с PAN-OS
  2. Клиентский компьютер с агентом GlobalProtect
  3. В сети установлена и настроена система Avanpost FAM SSL-сертификатом, подписанным удостоверяющим центром.

Схема компонентов решения при выполнении 2FA для Palo Alto Networks VPN с использованием SAML-механизма

системы Avanpost FAM в режиме совместимости интеграции с GlobalProtect

Настройка 2FA для Palo Alto Networks VPN

Настройка PAN-OS

Этап 1. Создание профиля SAML Identity Provider

  1. Загрузить файл метаданных SAML по ссылке https://idp.avanpost.local/.well-known/samlidp.xml , где idp.avanpost.local – FAM-сервер пользователя.
  2. Зайти в интерфейс PAN-OS в меню Device → Server Profile → SAML Identity Provider→ Import.
  3. В поле «Identity Provider Metadata» загрузить ранее скачанный файл xml.
  4. Флажок «Validate Identity Provider Certificate» необходимо снять.

Добавление профиля IdP


5. Зайти в добавленный профиль и проверить настройки ( Рисунок ).


Настройки SAML Provider Server Profile

Этап 2. Создание профиля аутентификации

  1. Перейти в меню Device → Authentication Profile → Add .
  2. Создать профиль аутентификации с параметрами:
    – Type (тип профиля аутентификации) – SAML;
    – Idp Server Profile – созданный на шаге 1 SAML Provider Server Profile;
    – Username Attribute – uid;



Настройки на вкладке "Authentication" при создании профиля

– На вкладке «Advanced» добавить пользователей, которым разрешено аутентифицироваться по этому профилю ( Рисунок ).


Добавление пользователей на вкладке «Advanced»

Этап 3. Настройка Portals в PAN-OS

Для привязки портала Palo Alto Global Protect VPN к профилю аутентификации ( Authentication Profile ) необходимо:

  1. Перейти в Network GlobalProtect Portals .
  2. Выбрать настроенный портал или создать новый (полное описание создания портала смотрите в инструкциях к Palo Alto) .
  3. В меню «Authentication» добавить новый профиль на основе созданного ранее с помощью кнопки Add ( Рисунок ).
  4. Выбрать профиль аутентификации ( Authentication Profile ), созданный или настроенный на шаге 2 ( Рисунок ).


Вкладка "Authentication" в настройках портала


Этап 4. Настройка Gateway

Для привязки шлюза Palo Alto Global Protect VPN к профилю аутентификации ( Authentication Profile ) необходимо:

  1. Перейти в Network GlobalProtect Gateways .
  2. Выбрать настроенный шлюз или создать новый ( полное описание создания шлюза в инструкциях к Palo Alto) .
  3. В меню «Authentication» добавить новый профиль на основе созданного ранее с помощью кнопки Add ( Рисунок ).
  4. Выбрать профиль аутентификации ( Authentication Profile ), созданный или настроенный на шаге 2 (Рисунок).


Вкладка "Authentication" в настройках шлюза



Этап 5. Создание и настройка SAML-приложения в системе Avanpost FAM

  1. В настройках интеграции приложения (при создании или редактировании данных приложения) указать соответствующую настройку интеграции (Рисунок).

    Скачать файл с настройками можно в PaloAlto Device Authentication Profile → Metadata, где 10.10.17.35 IP-адрес портала


    Настройки интеграции приложения

  2. В настройках факторов аутентификации вторым фактором указать «PayConfirm».

Этап 6. Создание пользователя в системе Avanpost FAM

  1. Создать пользователя ( Пользователи Добавить пользователя ) ( Рисунок ).

    При создании пользователя необходимо убрать флажки «Отправить приветствие со ссылкой для смены пароля» («Send a greeting with a link for the password change») и «Пользователь должен сменить пароль» («User must change password»)

    Форма создания нового пользователя в cистеме Avanpost FAM

Этап 7. Создание пользователя в PaloAlto

  1. Перейти в раздел Device Local User Database Users Add .

    Логин и пароль пользователя в PaloAlto должен совпадать с логином и паролем пользователя в Системе Avanpost FAM

Этап 8. Создание и настройка группы в Avanpost FAM

Группа должна включать настроенное ранее приложение и пользователя.

Создание группы на каждого пользователя не требуется.

  1. Создать группу: Группы Добавить группу ( Рисунок ).
  2. Добавить в группу созданного пользователя.
  3. Добавить в группу созданное приложение.


Создание новой группы в Avanpost FAM

Этап 9. Настройка фактора аутентификации

  1. В Системе Avanpost FAM в ЛК созданного пользователя привязать фактор аутентификации PayControl.

Фактор аутентификации PayControl в ЛК Avanpost FAM

Этап 10. Настройка агента GlobalProtect

  1. Открыть настройки агента и добавить IP-адрес портала.

Добавление IP-адреса портала


2. С помощью приложения PayConfirm подтвердить вход.


Проверка настройки

  1. Запустить клиент Palo Alto Global Protect VPN.

  2. Ввести логин и пароль.
  3. Пройти второй фактор аутентификации в соответствии с настроенным сценарием.

Успешное подключение к VPN на базе Palo Alto.