HELP FILE

Configuratie van de Palo Alto Network VPN voor het LastPass Universal Proxy RADIUS-protocol

Opmerking: Alleen de modi Password Authentication Protocol (PAP) en Challenge Handshake Authentication Protocol (CHAP) worden ondersteund door de service.

Genereren van cookies in het GlobalProtect Portal inschakelen

  1. Ga naar Network > GlobalProtect > Portals.
  2. Open uw Portal Profile.
  3. Klik op het tabblad Agent en klik op Agent Config.
  4. In het venster Configs onder Authentication activeert u het selectievakje Generate cookie for authentication override.
  5. Klik op OK.

Cookies-acceptatie inschakelen in de GlobalProtect Gateway

  1. Ga naar Network > GlobalProtect > Gateways.
  2. Open uw Gateway Profile.
  3. Klik op het tabblad Agent.
  4. Klik op Client Settings en open Client Config.
  5. Ga naar Configs, Authentication Override en activeer het selectievakje voor Accept cookie for authentication override.
  6. Klik op OK.

Stel de timeout voor de GlobalProtect-verbinding in op 60 seconden op de Palo Alto-server

Verhoog de verificatie-timeout tot 60 seconden.

Opmerking: Aangezien de timeout voor pushberichten in de LastPass MFA-app 60 seconden is, stelt u deze hier ook in op 60 seconden.
De verificatie-timeout wordt als volgt berekend: ingestelde verbindingstime-out - 5 seconden. De standaardtime-out is 30 seconden, waardoor de standaard verificatie-time 25 seconden wordt.

U kunt de instellingen voor de verificatie-timeout alleen via de CLI wijzigen:

  1. SSH in de Palo Alto-server vanuit de command line.
  2. Voer de volgende opdracht uit om de standaardwaarde voor de time-out te verhogen tot 60 seconden:

    vpnadmin@paloaltovpntest> configure
    Entering configuration mode
    [edit]
    vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
    [edit]
    vpnadmin@paloaltovpntest# commit

    Opmerking: Om de time-out In te stellen op 60 seconden, moet u time-out 65 toevoegen, dus 5 seconden meer om de berekening van de server te compenseren.

  3. Voer de volgende opdracht uit om de eerder aangepaste instellingen te controleren:

    vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect

    Resultaat: Als de instelling correct is, wordt het volgende resultaat weergegeven:

    global-protect { timeout 65; } 

Een RADIUS-serverprofiel toevoegen

  1. Ga In de beheerder van het Palo Alto Network naar de Device > Server-profielen > RADIUS.
  2. Klik op Add om een nieuw RADIUS-serverprofiel toe te voegen.

    1. Voer voor Profile Name een profielnaam in.
    2. Stel onder Server Settings het volgende in:

      Timeout (sec)
      61
      Herhaalde pogingen
      1
      Authentication Protocol
      PAP

  3. Ga naar Servers en klik op Add.
    1. Voer een Name om de server te herkennen.
    2. Voer het IP-adres of FQDN van de RADIUS-Server in.
    3. Voer het RADIUSgeheim in dat is ingesteld in de Universal Proxy configuratie - dit moet hetzelfde geheim zijn.
    4. Voer een Port nummer in, standaard 1812 Voor verificatie.
  4. Klik op OK om het serverprofiel op te slaan.

    Het RADIUS-serverprofiel toewijzen aan een verificatieprofiel:

  5. Selecteer Authentication Profile in het navigatiegedeelte links.
  6. Klik op Add.

  7. Voer de Name voor het verificatieprofiel in. Dit wordt dit toegewezen aan de GlobalPortal-configuratie.
  8. Stel onder Authentication het volgende in:
    • Selecteer in de vervolgkeuzelijst Type de optie RADIUS.
    • Selecteer in de vervolgkeuzelijst Server Profile het eerder geconfigureerde RADIUS-profiel.
  9. Klik in het venster Authentication Profile op het tabblad Advanced.
  10. Kies bij de Allow List de optie Add om de gebruikers en groepen toe te voegen die toestemming hebben om met dit verificatieprofiel te verifiëren.
  11. Klik op OK om het verificatieprofiel op te slaan.
U heeft nu de RADIUS-verificatie voor uw Palo Alto VPN geconfigureerd.