Avanpost FAM/MFA+ : Настройка 2FA для Palo Alto Networks VPN

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Palo Alto Networks VPN. В инструкции описывается настройка 2FA для Palo Alto Networks VPN с использованием SAML-механизма системы Avanpost FAM в режиме совместимости интеграции с GlobalProtect. Функциональность доступна для веб-интерфейса и десктопного интерфейса PAN-OS.

Для Palo Alto Networks VPN с целью 2FA/MFA/SSO могут использоваться следующие факторы аутентификации: 

Системные требования для интеграции Palo Alto Networks VPN с Avanpost FAM:

  • Сервер Avanpost FAM 1.3.0 или выше;

Перед началом настройки подключения VPN через GlobalProtect необходимо иметь инфраструктуру в виде:

  1. Оборудования с PAN-OS;
  2. Клиентского компьютера с агентом GlobalProtect;
  3. В сети должна быть установлена и настроена система Avanpost FAM с SSL-сертификатом, подписанным удостоверяющим центром.

Схема компонентов решения при выполнении 2FA для Palo Alto Networks VPN с использованием SAML-механизма

системы Avanpost FAM в режиме совместимости интеграции с GlobalProtect

Настройка 2FA для Palo Alto Networks VPN

Настройка PAN-OS

Этап 1. Создание профиля SAML Identity Provider

  1. Загрузить файл метаданных SAML по ссылке  https://idp.avanpost.local/.well-known/samlidp.xml, где idp.avanpost.local – FAM-сервер пользователя.
  2. Зайти в интерфейс PAN-OS в меню Device → Server Profile → SAML Identity Provider→ Import.
  3. В поле «Identity Provider Metadata» загрузить ранее скачанный файл xml.
  4. Флажок «Validate Identity Provider Certificate» необходимо снять.

Добавление профиля IdP


5. Зайти в добавленный профиль и проверить настройки (Рисунок).


Настройки SAML Provider Server Profile

Этап 2. Создание профиля аутентификации

  1. Перейти в меню Device → Authentication Profile→ Add.
  2. Создать профиль аутентификации с параметрами:
     – Type (тип профиля аутентификации) – SAML;
     – Idp Server Profile – созданный на шаге 1 SAML Provider Server Profile;
     – Username Attribute – uid;



Настройки на вкладке "Authentication" при создании профиля

 – На вкладке «Advanced» добавить пользователей, которым разрешено аутентифицироваться по этому профилю (Рисунок).


Добавление пользователей на вкладке «Advanced»

Этап 3. Настройка Portals в PAN-OS

Для привязки портала Palo Alto Global Protect VPN к профилю аутентификации (Authentication Profile) необходимо:

  1. Перейти в Network→ GlobalProtect→ Portals.
  2. Выбрать настроенный портал или создать новый (полное описание создания портала смотрите в инструкциях к Palo Alto).
  3. В меню «Authentication» добавить новый профиль на основе созданного ранее с помощью кнопки Add (Рисунок).
  4. Выбрать профиль аутентификации (Authentication Profile), созданный или настроенный на шаге 2 (Рисунок).


Вкладка "Authentication" в настройках портала


Этап 4. Настройка Gateway

Для привязки шлюза Palo Alto Global Protect VPN к профилю аутентификации (Authentication Profile) необходимо:

  1. Перейти в Network→ GlobalProtect→ Gateways.
  2. Выбрать настроенный шлюз или создать новый (полное описание создания шлюза в инструкциях к Palo Alto).
  3. В меню «Authentication» добавить новый профиль на основе созданного ранее с помощью кнопки Add (Рисунок).
  4. Выбрать профиль аутентификации (Authentication Profile), созданный или настроенный на шаге 2 (Рисунок).


Вкладка "Authentication" в настройках шлюза


Этап 5. Создание и настройка SAML-приложения в системе Avanpost FAM

  1. В настройках интеграции приложения (при создании или редактировании данных приложения) указать соответствующую настройку интеграции (Рисунок).

    Скачать файл с настройками можно в PaloAlto Device → Authentication Profile → Metadata, где 10.10.17.35 является IP-адресом портала.


    Настройки интеграции приложения

  2. В настройках факторов аутентификации вторым фактором указать «PayConfirm».

Этап 6. Создание пользователя в системе Avanpost FAM

  1. Создать пользователя (Пользователи → Добавить пользователя) (Рисунок).

    При создании пользователя необходимо убрать флажки «Отправить приветствие со ссылкой для смены пароля» («Send a greeting with a link for the password change») и «Пользователь должен сменить пароль» («User must change password»)

    Форма создания нового пользователя в cистеме Avanpost FAM

Этап 7. Создание пользователя в PaloAlto

  1. Перейти в раздел Device → Local User Database → Users →Add.

    Логин и пароль пользователя в PaloAlto должен совпадать с логином и паролем пользователя в Системе Avanpost FAM.

Этап 8. Создание и настройка группы в Avanpost FAM

Группа должна включать настроенное ранее приложение и пользователя. Создание группы на каждого пользователя не требуется.

  1. Создать группу: Группы → Добавить группу (Рисунок).
  2. Добавить в группу созданного пользователя.
  3. Добавить в группу созданное приложение.


Создание новой группы в Avanpost FAM

Этап 9. Настройка фактора аутентификации

  1. В Системе Avanpost FAM в ЛК созданного пользователя привязать фактор аутентификации PayControl.

Фактор аутентификации PayControl в ЛК Avanpost FAM

Этап 10. Настройка агента GlobalProtect  

  1. Открыть настройки агента и добавить IP-адрес портала.

Добавление IP-адреса портала


2. С помощью приложения PayConfirm подтвердить вход.

Проверка настройки

  1. Запустить клиент Palo Alto Global Protect VPN.

  2. Ввести логин и пароль.
  3. Пройти второй фактор аутентификации в соответствии с настроенным сценарием.

Успешное подключение к VPN на базе Palo Alto.


Обсуждение