Okta RADIUSを使用するよう Palo Alto Networks VPNを設定

このタスクでは、RADIUS Serverプロファイルを定義してからPalo Alto RADIUSエージェントの認証プロファイルを定義し、さらにOkta RADIUS認証プロファイルをゲートウェイに適用した後、GlobalProtectポータルを設定してOkta RADIUS認証プロファイルを使用します。Palo Alto Networks RADIUS Serverプロファイルを使用してこれらを完成します。

手順

  1. RADIUS Serverプロファイルの定義
  2. Okta Palo Alto RADIUSエージェント向けの認証プロファイルの定義
  3. Okta RADIUS認証プロファイルをゲートウェイに適用
  4. Okta RADIUS認証プロファイルを使用するようGlobalProtectポータルを設定

はじめに

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。

RADIUS Serverプロファイルの定義

  1. 十分な権限でPalo Alto Networks管理コンソールにサインインします。
  2. [Device(デバイス)]>[Server Profile(サーバー プロファイル)]>[RADIUS]に進み、[Add(追加)]をクリックして新規RADIUSサーバーを定義します。下図のような画面が開きます。

  3. 一意かつ適切なプロファイル名を入力し、上記に示すように以下のサーバー設定を入力します。

    • タイムアウト(秒): 60

    • 認証プロトコル:PAP

    • 再試行:1

  4. 上記に示す画面で[Add(追加)]をクリックし、サーバーを定義します。以下の設定を入力します。
    • 名前:一意かつ適切な名前

    • Radiusサーバー:Okta Palo Alto RADIUSエージェントにインストールしたサーバーのIPアドレス

    • シークレット:上記のOkta Radiusアプリで定義したRADIUSシークレット

    • ポート:上記のOkta Palo Alto RADIUSアプリで定義したUDPポート

  5. [OK]をクリックして設定を保存します。

Okta Palo Alto RADIUSエージェント向けの認証プロファイルの定義

  1. [Device(デバイス)]>[Authentication Profile(認証プロファイル)]を選択して[Add(追加)]をクリックし、認証プロファイルを定義します。

  2. [Authentication(認証)]タブをクリックします下図のような画面が開きます。

  3. 以下を除いてデフォルト設定をそのまま残します。
    • タイプ: RADIUS

    • サーバー プロファイル:上記のステップ1で定義したサーバー プロファイルの名前を入力します。

  4. 完了したら[OK]をクリックします。
  5. [Authentication Profile(認証プロファイル)]画面で[Advanced(高度な設定)]タブをクリックします。
  6. 以下の画面で、[Add(追加)]を選択して許可リストに割り当てます。次に、表示された選択肢から[All(すべて)]を選択します。

  7. [OK]をクリックして設定を保存します。
  8. [Commit(確定)]をクリックしてOkta RADIUS認証プロファイルを保存します。

  9. 以下の「トラブルシューティング」 セクションの[認証プロファイルのテスト」に記載されているように、Palo Alto Networks Administrative Shellを開き、認証プロファイルをテストします。

Okta RADIUS認証プロファイルをゲートウェイに適用

  1. [Network(ネットワーク)]>[GlobalProtect]>[Gateways(ゲートウェイ)]を選択して設定済みのGlobalProtectゲートウェイを開きます。
  2. [Authentication(認証)]タブを選択してクライアント認証設定を定義します。
  3. [Add(追加)]をクリックして、クライアント認証を先ほど設定したばかりのOkta RADIUS 認証 プロファイルにアップデートします。
  4. 以下を除いてデフォルト設定をそのまま残します。
    • 名前:一意かつ適切な名前
    • OS:任意
    • 認証プロファイル:上記で設定した認証プロファイルを入力します。
    • 認証メッセージ:「ログイン資格情報を入力」など、エンドユーザーにとって適切な指示を入力します
  5. [OK]をクリックして設定を保存します。

Okta RADIUS認証プロファイルを使用するようGlobalProtectポータルを設定

注:この手順では、GlobalProtect Gatewayに適用したのと同じ設定をGlobalProtect ポータルにも適用します。

  1. [Network(ネットワーク)]>[GlobalProtect]>[Portal(ポータル)]を選択して設定済みのGlobalProtectポータルを開きます。
  2. [Authentication(認証)]タブを選択してクライアント認証設定を定義します。
  3. [Add(追加)]をクリックして、クライアント認証を先ほど設定したばかりのOkta RADIUS 認証 プロファイルにアップデートします。
  4. 以下を除いてデフォルト設定をそのまま残します。
    • 名前:一意かつ適切な名前
    • OS:任意
    • 認証プロファイル:上記で設定した認証プロファイルを入力します。
    • 認証メッセージ:「ログイン資格情報を入力」など、エンドユーザーにとって適切な指示を入力します
  5. [OK]をクリックして設定を保存します。

すべての設定を確定

[Commit(確定)]をクリックしてPalo Alto Networks 管理コンソールでOkta RADIUS 構成を保存します。

次のステップ

オプション設定の構成