任意の設定を構成する

Palo Alto Network Gatewayでは、いくつかの任意設定がサポートされます。

クライアントIPレポートを構成する

Palo Alto Networksの次世代ファイアウォール(NGFW)は、クライアントIPの送信に31(Calling-Station-Id)などの標準の属性値ペア(AVP)を使用しません。データの送信には、代わりにベンダー固有の属性(VSA)が使用されます。

ソースクライアントのIPに基づいて解析、レポート、ポリシー適用を行うようにOktaを構成するには、次の手順に従います。

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. アプリケーションのリストでOkta Palo Alto Radius Appを探します。
  3. 高度なRADIUS設定(Advanced RADIUS Settings)セクションでクライアントIPをレポート(Report Client IP)を選択します。
  4. RADIUSエンドユーザーIP属性(RADIUS End User IP Attributes)では、26ベンダー固有(26 Vendor-Specific)を選択して7を入力します。
  5. 保存(Save)をクリックします。
  6. Palo Alto Networksの管理シェルを開き、次のコマンドを実行します。 
    set authentication radius-vsa-on client-source-ip

グループ応答オプションを構成する

Palo Alto Network Gatewayは、グループの受信に11(Filter-Id)と25(Class)の標準のAVPを使用しません。代わりにVSAを使用します。

ベンダー固有の属性でRADIUSグループ情報を送信するようにアプリを構成するには、次の手順を完了します。

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. 検索(Search)フィールドを使ってアプリケーションを探し、検索結果で名前をクリックします。
  3. サインオン(Sign on)タブを選択します。
  4. 高度なRADIUS設定(Advanced RADIUS Settings)セクションまでスクロールし、編集(Edit)をクリックします。
  5. グループ応答(Groups Response)セクションで次のオプションを設定します。
    1. RADIUS応答にグループを含める(Include groups in RADIUS response)を選択します。
    2. RADIUS属性(RADIUS attribute)サブセクションで26-ベンダー固有(26-Vendor specific)を選択します。
    3. ベンダー固有ID(Vendor Specific ID)フィールドに製品のベンダーIDの数値コードを入力します。
      • Cisco ASA-Group-Policy:3076
      • Citrix Group-Names:3845
      • Fortinet Group-Name:12356
      • Palo Alto User-Group:25461
    4. 製品の属性IDの数値を属性ID(Attribute ID)フィールドに入力します。
      • Cisco ASA-Group-Policy:25
      • Citrix Group-Names:16
      • Fortinet Group-Name:1
      • Palo Alto User-Group:5
  6. 保存(Save)をクリックします。

GlobalProtectで資格情報の二重プロンプトを回避する

Okta RADIUSで構成されている場合、GlobalProtectは特定の状況で資格情報の入力を2回求めます。これは、GlobalProtectサインインプロセスのcookieを有効にすることで回避できます。ユーザーのサインイン後にGlobalProtectポータルはcookieを生成します。RADIUSゲートウェイは、このcookieを短時間(通常は60秒以内)受け入れます。

GlobalProtectポータルでcookieの生成を有効にする

  1. GlobalProtectポータルに接続します。
  2. ネットワーク(Network) > GlobalProtect > ポータル(Portals)に移動します。
  3. ポータルプロファイル(Portal Profile)をクリックします。
  4. エージェント(Agent)タブを選択し、エージェント構成(Agent Config)をクリックします。
  5. 認証上書きのためにcookieを生成(Generate cookie for authentication override)を有効化します。
  6. cookieのライフタイム(Cookie Lifetime)に秒単位のライフタイムを入力します。RADIUSでは、通常は60~90秒です。
  7. cookieの暗号化/復号(Encrypt/Decrypt Cookie)で証明書を選択します。

GlobalProtect Gatewayでcookieの受け入れを有効にする

  1. ネットワーク(Network) > GlobalProtect > ゲートウェイ(Gateway)に移動します。
  2. ゲートウェイプロファイル(Gateway Profile)を開きます。
  3. エージェント(Agent)タブを選択します。
  4. クライアント設定(Client Settings)をクリックし、クライアント構成(Client Config)をクリックします。
  5. 認証の上書き(Authentication Override)タブを選択し、認証上書きのためにcookieを受け入れ(Accept cookie for authentication override)を有効にします。
  6. cookieのライフタイム(Cookie Lifetime)に秒単位のライフタイムを入力します。RADIUSでは、通常は60~90秒です。
  7. cookieの暗号化/復号(Encrypt/Decrypt Cookie)で証明書を選択します。GlobalProtectポータルでcookieの生成を有効にするで選択したものと同じ証明書を選択します。

次の手順

Palo Alto Networks VPN統合をテストする