任意設定を構成する

Palo Alto Network Gatewayでは、いくつかの任意設定がサポートされます。

クライアントIPレポートを構成する

Palo Alto Networksの次世代ファイアウォール(NGFW)は、クライアントIPの送信に31(Calling-Station-Id)などの標準の属性値ペア(AVP)を使用しません。データの送信には、代わりにベンダー固有の属性(VSA)が使用されます。

ソースクライアントのIPに基づいて解析、レポート、ポリシー適用を行うようにOktaを構成するには、次の手順に従います。

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. アプリケーションのリストでOkta Palo Alto Radius Appを探します。
  3. [高度なRADIUS設定]セクションで[Report Client IP(クライアントIPをレポート)]を選択します。
  4. [RADIUSエンドユーザーIP属性]では、[26 Vendor-Specific(26ベンダー固有)]を選択して7を入力します。
  5. [Save(保存)]をクリックします。
  6. Palo Alto Networksの管理シェルを開き、次のコマンドを実行します。

    set authentication radius-vsa-on client-source-ip

グループ応答オプションを構成する

Palo Alto Network Gatewayは、グループの受信に11(Filter-Id)と25(Class)の標準のAVPを使用しません。代わりにVSAを使用します。

ベンダー固有の属性でRADIUSグループ情報を送信するようにアプリを構成するには、次の手順を完了します。

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. [Search(検索)]フィールドを使ってアプリケーションを探し、検索結果で名前をクリックします。
  3. [サインオン]タブを選択します。
  4. [Advanced RADIUS Settings(高度なRADIUS設定)]セクションまでスクロールし、[Edit(編集)]をクリックします。
  5. [グループ応答]セクションで次のオプションを設定します。
    1. [Include groups in RADIUS response(RADIUS応答にグループを含める)]を選択します。
    2. [RADIUS属性]サブセクションで[26-Vendor specific(26-ベンダー固有)]を選択します。
    3. [Vendor Specific ID(ベンダー固有ID)]フィールドに製品のベンダーIDの数値コードを入力します。
      • Cisco ASA-Group-Policy:3076
      • Citrix Group-Names:3845
      • Fortinet Group-Name:12356
      • Palo Alto User-Group:25461

      ベンダー固有のIDがここに表示されないときは、製品のドキュメントで探します。

    4. 製品の属性IDの数値を[Attribute ID(属性ID)]フィールドに入力します。
      • Cisco ASA-Group-Policy:25
      • Citrix Group-Names:16
      • Fortinet Group-Name:1
      • Palo Alto User-Group:5

      属性IDがここに表示されないときは、製品のドキュメントでグループポリシー属性を探します。

  6. [Save(保存)]をクリックします。

グループメンバーシップ値の最大長さは247バイトです。グループ名の長さがこの制限を上回る場合、切り捨てられた部分的な値が返されます。単一の区切りリストを使用する代わりに、属性の繰り返しセットとして応答を構成します。

GlobalProtectで資格情報の二重プロンプトを回避する

Okta RADIUSで構成されている場合、GlobalProtectは特定の状況で資格情報の入力を2回求めます。これは、GlobalProtectサインインプロセスのcookieを有効にすることで回避できます。ユーザーのサインイン後にGlobalProtectポータルはcookieを生成します。RADIUSゲートウェイは、このcookieを短時間(通常は60秒以内)受け入れます。

GlobalProtectポータルでcookieの生成を有効にする

  1. GlobalProtectポータルに接続します。
  2. [Network(ネットワーク)][GlobalProtect][Portals(ポータル)]に移動します。
  3. [Portal Profile(ポータルプロファイル)]をクリックします。
  4. [エージェント]タブを選択し、[Agent Config(エージェント構成)]をクリックします。
  5. [Generate cookie for authentication override(認証上書きのためにcookieを生成)]を有効化します。
  6. [cookieのライフタイム]に秒単位のライフタイムを入力します。RADIUSでは、通常は60~90秒です。
  7. [cookieの暗号化/復号]で証明書を選択します。

GlobalProtect Gatewayでcookieの受け入れを有効にする

  1. [Network(ネットワーク)][GlobalProtect][Gateway(ゲートウェイ)]に移動します。
  2. [Gateway Profile(ゲートウェイプロファイル)]を開きます。
  3. [エージェント]タブを選択します。
  4. [Client Settings(クライアント設定)]をクリックし、[Client Config(クライアント構成)]をクリックします。
  5. [認証の上書き]タブを選択し、[Accept cookie for authentication override(認証上書きのためにcookieを受け入れ)]を有効にします。
  6. [cookieのライフタイム]に秒単位のライフタイムを入力します。RADIUSでは、通常は60~90秒です。
  7. [cookieの暗号化/復号]で証明書を選択します。「GlobalProtectポータルでcookieの生成を有効にする」で選択したものと同じ証明書を選択します。