オプション設定を構成する
Palo Alto Network Gatewayは、以下を含むいくつかのオプション設定をサポートしています。
クライアントIPレポートを構成する
Palo Alto Networks NGFWは、31(Calling-Station-Id)などの標準の属性値ペア(AVP)を使用してクライアントIPを送信しません。その代わり、ベンダー固有属性(VSA)を使用してデータを送信します。
ソースクライアントのIPアドレスに基づいて解析、レポート、ポリシーの適用を行うようにOktaを構成するには、Okta Admin ConsoleでOkta Palo Alto Radiusアプリを構成します。
[Advanced RADIUS Settings(高度なRADIUSの設定)]に以下の設定を入力します。
- [Client IP(クライアントIP)]:[Report client IP(クライアントIPをレポート)]をオンにします。
- [RADIUS End User IP Attributes(RADIUSのエンドユーザーのIP属性)]:26 Vendor-Specific, 7
Palo Alto Networksの管理シェルを開き、次のコマンドを実行します。
set authentication radius-vsa-on client-source-ip
グループ応答の構成
Palo Alto Network Gatewayは、11(Filter-Id)および25(Class)の標準のAttribute Value Pairs(AVP)を使用するグループを受信しません。代わりにベンダー固有の属性に依存します。
以下の手順にリストされているベンダーは、RADIUS応答にグループを含めることができる場合のあるベンダーの単なるサブセットです。ベンダーがRADIUS応答でグループを利用でき、リストされていない場合:
- 一意のベンダーコードまたはIDを決定します。ベンダーIDは、コンテンツの対象となるベンダーを識別し、ベンダー固有のIDとして入力されます。たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixはベンダーコードを使用します。
- グループポリシーに関連付けられているベンダー固有のコードを決定します。ベンダー固有のグループコードは、このフィールドにグループ名の値が含まれているベンダーを識別し、属性IDとして入力されます。
たとえば、Ciscoの場合、25という値を使用してグループポリシーを示します。
ベンダー固有の属性でRADIUSグループ情報を送信するようにアプリを構成するには、次の手順を実行します。
早期アクセスリリース
- Admin Consoleで、 に移動します。
- 名前をクリックしてアプリケーションを開きます。
検索フィールドを使用して、表示されるアプリケーションのセットを絞り込むことができます。
- [Sign on(サインオン)]タブを選択します。
- [Advanced RADIUS Settings(高度なRADIUSの設定)]セクションまでスクロールし、[編集]をクリックします。
- [GROUPS RESPONSE(グループ応答)]セクションで、以下を行います。
- [Include groups in RADIUS response(RADIUS応答にグループを含める)]をチェックします。
- [RADIUS attributes(RADIUS属性)]サブセクションで、以下を指定します。
フィールド
値
コメント
RADIUS属性 26-Vendor specific
26-Vendor specificにする必要があります。
ベンダー固有のID
次のいずれかを入力します。
Cisco - ASA-Group-Policy (3076)Citrix-Group-Names (3845)
Fortinet-Group-Name(12356)
PaloAlto-User-Group(25461)
関連するベンダーIDの数値を入力します。
たとえば、Ciscoの場合は3076と入力します。
リストにない場合 - 一意のベンダーコードまたはID。たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixはベンダーコードを使用します。属性ID
Cisco - ASA-Group-Policy (25)
Citrix-Group-Names (16)
Fortinet-Group-Name(1)
PaloAlto-User-Group(5)
関連する属性IDの数値を入力します。たとえば、Ciscoの場合は25と入力します。
リストにない場合 - グループポリシーに関連付けられているベンダー固有の一意のコード。たとえば、Ciscoの場合、25という値を使用してグループポリシーを示します。[Vendor specific ID(ベンダー固有のID)]と[Attribute ID(属性ID)]は文字列フィールドです。
- グループメンバーシップ値の最大長は247バイトです。グループメンバーシップの長さまたはグループ名の長さが最大サイズを超える状況では、切り捨てが発生し、部分的な値が返されます。
- このような場合、Oktaでは、単一の区切られたリストではなく、[Repeated Attributes(属性の繰り返し)]のセットとして応答を構成することを提案しています。
- [保存]をクリックします。
認証情報のプロンプトの繰り返しとCookieの有効化
Okta RADIUSで構成されている場合、GlobalProtectは特定の状況で認証情報の入力を2回求めることがあります。この2回目のプロンプトは、GlobalProtectのログインに対してCookieを有効にすることで回避できます。この場合、GlobalConnectポータルはCookieを生成し、RADIUSゲートウェイはこのCookieを短時間(通常は60秒以内)受け入れます。
GlobalProtectポータルでCookieの生成を有効にする
- Global Protectポータルに接続します。
- [Network(ネットワーク)]>[GlobalProtect]>[Portals(ポータル)]に進みます。
- [Portal Profile(ポータルプロファイル)]を開きます。
- [Agent(エージェント)]タブを選択して[Agent Config(エージェント構成)]をクリックします。
- [Generate cookie for authentication override(認証上書きのためにクッキーを生成)]を有効化します。
- [Cookie Lifetime(Cookieの有効期間)]を設定します。RADIUSの場合、これは通常60〜90秒です。
- [Certificate to Encrypt/Decrypt Cookie(Cookieの暗号化/復号に使用する証明書)]を選択します。
GlobalProtect GatewayでCookieの受け入れを有効にする
- [Network(ネットワーク)]>[GlobalProtect]>[Gateway(ゲートウェイ)]に進みます。
- [Gateway Profile(ゲートウェイプロファイル)]を開きます。
- [Agent(エージェント)]タブを選択します。
- [Client Settings(クライアント設定)]をクリックし、[Client Config(クライアント構成)]を開きます。
- [Authentication Override(認証の上書き)]タブを選択して[Accept cookie for authentication override(認証上書きのためにクッキーを受け入れ)]を有効にします。
- [Cookie Lifetime(Cookieの有効期間)]を設定します。RADIUSの場合、これは通常60〜90秒です。
- [Certificate to Encrypt/Decrypt Cookie(Cookieの暗号化/復号に使用する証明書)]を選択します。
注:これは前の手順で使用した証明書と同じである必要があります。