オプション設定を構成する

Palo Alto Network Gatewayは、以下を含むいくつかのオプション設定をサポートしています。

クライアントIPレポートを構成する

Palo Alto Networks NGFWは、31(Calling-Station-Id)などの標準の属性値ペア(AVP)を使用してクライアントIPを送信しません。その代わり、ベンダー固有属性(VSA)を使用してデータを送信します。

ソース・クライアントのIPアドレスに基づいて解析、レポート、ポリシーの適用を行うようにOktaを構成するには、Okta管理コンソールでOkta Palo Alto Radiusアプリを構成します。

[高度なRADIUSの設定]に以下の設定を入力します。

  • クライアントIP:レポートクライントIPをチェック
  • RADIUSのエンド・ユーザーのIP属性: 26 Vendor-Specific、7

Palo Alto Networksの管理シェルを開き、次のコマンドを実行します。

set authentication radius-vsa-on client-source-ip

グループ応答を構成する

Palo Alto Network Gatewayは、11(Filter-Id)および25(Class)の標準のAttribute Value Pairs(AVP)を使用するグループを受信しません。代わりにベンダー固有の属性に依存します。

Important Note

以下の手順にリストされているベンダーは、RADIUS応答にグループを含めることを利用できる可能性のあるベンダーの単なるサブセットです。ベンダーがRADIUS応答でグループを利用でき、リストされていない場合:

  1. 一意のベンダー・コードまたはIDを決定します。
    ベンダーIDは、コンテンツの対象となるベンダーを識別し、 ベンダー固有のIDとして入力されます。
    たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixは ベンダー・コードを使用します。
  2. グループ・ポリシーに関連付けられているベンダー固有のコードを決定します。ベンダー固有のグループ・コードは、このフィールドにグループ名の値が含まれているベンダーを識別し、属性IDとして入力されます。
    たとえば、Ciscoの場合、25という値を使用してグループ・ポリシーを示します。

 

ベンダー固有の属性でRADIUSグループ情報を送信するようにアプリを構成するには、次の手順を実行します。

  1. Oktaで、[アプリケーション] > [アプリケーション]に移動します。
  2. 名前をクリックしてアプリケーションを開きます。
    Tip

    ヒント

    [検索]フィールドを使用して、表示されるアプリケーションのセットを絞り込むことができます。

  3. [サインオン]タブを選択します。
  4. [高度なRADIUSの設定]セクションまでスクロールし、[編集]をクリックします。
  5. [グループ応答]セクションで、次の手順を実行します。
    1. [RADIUS応答にグループを含める]をチェックします。
    2. [RADIUS属性]サブ・セクションで、以下を指定します。

      フィールド

      コメント

      [RADIUS属性]

      26 Vendor Specific

      26 Vendor Specificにする必要があります。

      [ベンダー固有のID]

      次のいずれかを入力します。
      Cisco - ASA-Group-Policy (3076)

      Citrix-Group-Names (3845)

      Fortinet-Group-Name(12356)

      PaloAlto-User-Group(25461)

      関連するベンダーIDの数値を入力します。
      たとえば、Ciscoの場合は3076と入力します。

      リストにない場合 - 一意のベンダー・コードまたはID。たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixは ベンダー・コードを使用します。






      [属性ID]

      Cisco - ASA-Group-Policy (25)

      Citrix-Group-Names (16)

      Fortinet-Group-Name(1)

      PaloAlto-User-Group(5)

      関連する属性IDの数値を入力します。たとえば、Ciscoの場合は25と入力します。

      リストにない場合 - グループ・ポリシーに関連付けられているベンダー固有の一意のコード。たとえば、Ciscoの場合、25という値を使用してグループ・ポリシーを示します。


      Important Note

      重要

      [ベンダー固有のID]と[属性ID]は文字列フィールドです。


      Caution

      注意

      • グループ・メンバーシップ値の最大長は247バイトです。グループ・メンバーシップの長さ またはグループ名の長さが最大サイズを超える状況では、切り捨てが発生し、部分的な値が返されます。
      • このような場合、Oktaでは、単一の区切られたリストではなく、[属性の繰り返し]のセットとして応答を構成することを提案しています。
  6. [保存]をクリックします。

認証情報のプロンプトの繰り返しとCookieの有効化

Okta RADIUSで構成されている場合、GlobalProtectは特定の状況で認証情報の入力を2回求めることがあります。この2回目のプロンプトは、GlobalProtectのログインに対してCookieを有効にすることで回避できます。この場合、GlobalConnectポータルはCookieを生成し、RADIUSゲートウェイはこのCookieを短時間(通常は60秒以内)受け入れます。

GlobalProtectポータルでCookieの生成を有効にする

  1. Global Protectポータルに接続します。
  2. [ネットワーク] > [GlobalProtect] > [ポータル]に移動します。
  3. [ポータル・プロファイル]を開きます。
  4. [エージェント]タブを選択し、次に[エージェント構成]をクリックします。
  5. [認証の上書きのためのCookieを生成する]を有効にします。
  6. [Cookieの有効期間]を設定します。RADIUSの場合、これは通常60〜90秒です。
  7. 証明書を選択し、[Cookieの暗号化/復号に使用する証明書]を選択します。

GlobalProtect GatewayでCookieの受け入れを有効にする

  1. [ネットワーク] > [GlobalProtect] > [ゲートウェイ]に移動します。
  2. [ゲートウェイ・プロファイル]を開きます。
  3. [エージェント]タブを選択します。
  4. [クライアント設定]をクリックし、[クライアント構成]を開きます。
  5. [認証の上書き]タブを選択し、[認証の上書きのためのCookieを受け入れる]を有効にします。
  6. [Cookieの有効期間]を設定します。RADIUSの場合、これは通常60〜90秒です。
  7. 証明書を選択し、[Cookieの暗号化/復号に使用する証明書]を選択します。
    注: これは前の手順で使用した証明書と同じである必要があります。