本記事は、Prisma AccessのPre-Logonに必要な設定手順をご紹介します

※Strata Cloud Managerでの設定手順です

Pre-Logonとは

ユーザーがログインする前に端末認証し、VPNトンネルを確立する接続方法のことです

この接続方法の目的は、社外ネットワークの端末の電源を入れた際に社内ネットワークへの最小権限でのアクセスを実現することで、社内Active Directoryでの認証やログオン前のスクリプト実行などで利用します

Prisma Accessでは、Pre-Logon接続を利用しログイン前に端末認証でVPNトンネルの確立が可能です

Prisma AccessでのPre-Logonの仕組み

Pre-Logonの設定手順

1. ネットワーク構成例
2. LDAPプロファイルと認証プロファイル設定
3. 証明書のインポートと証明書プロファイル設定
4. GlobalProtectのユーザー認証設定
5. GlobalProtectアプリケーション設定
6. 動作確認

1.ネットワーク構成例

社外端末からMU接続する際にPre-Logonを利用し、社内Active Directoryの認証を利用する想定です

【前提】

・端末がGlobalProtectのMU接続可能な状態

・Prisma Accessから社内ネットワークに対してSC接続が可能な状態

・端末認証用のクライアント証明書を端末にインストールしている状態

2.LDAPプロファイルと認証プロファイル設定

2.1 LDAPプロファイル設定

[Configuration > NGFW and Prisma Access > IDサービス > 認証 > サーバー プロファイル > LDAP]

Configuration ScopeはGlobalProtectを選択

①追加LDAPサーバ プロファイルをクリックします

②任意の名前を入力、タイプはactive-directoryを選択、社内Active DirectoryのベースDNやバインドDN、Bind Password、LDAPサーバーの情報を入力します

2.2 認証プロファイル設定

[Configuration > NGFW and Prisma Access > IDサービス > 認証 > 認証プロファイル]

Configuration ScopeはGlobalProtectを選択

①プロファイルの追加をクリックします

②認証方式はLDAP、LDAPサーバプロファイルは2.1で作成したプロファイルを選択、任意のプロファイル名を入力します

　※本記事では、ログイン属性はsAMAccountNameを指定します

3.証明書のインポートと証明書プロファイル設定

3.1 証明書のインポート

[Configuration > NGFW and Prisma Access > オブジェクト > 証明書の管理]

Configuration ScopeはPrisma Accessを選択

①インポートをクリックします

②任意の証明書名を入力、ファイルを選択をクリックしCA証明書を選択、FormatはBase64 エンコード済み証明書（PEM）を選択し、保存します

3.2 証明書プロファイル設定

[Configuration > NGFW and Prisma Access > オブジェクト > 証明書の管理]

①証明書プロファイルのプロファイルの追加をクリックします

②任意の名前を入力、CA証明書で追加をクリックし3.1でインポートした証明書を選択し、保存します

4.GlobalProtectのユーザー認証設定

[Configuration > NGFW and Prisma Access > セットアップ > インフラ]

Configuration ScopeはGlobalProtectを選択

①ユーザー認証の認証の追加をクリックします

②認証方式はLDAP、Profileは2.2で作成したプロファイル、証明書プロファイルは3.2で作成したプロファイルを選択し、保存します

5.GlobalProtectアプリケーション設定

[Configuration > NGFW and Prisma Access > オブジェクト > 証明書の管理]

Configuration ScopeはGlobalProtectを選択

①アプリケーション設定の追加アプリケーション設定をクリックします

②任意の名前を入力、一致条件のユーザーエンティティはMatch Anyを選択、Certificate Profileは3.2で作成したプロファイルを選択します

②アプリケーション設定の接続はEven before the user logs on to the machine（Pre-Logon）を選択します

③Show Advanced Optionsをクリックします

④Authenticationのシングルサインオンを使用する(Windows)にチェックがされているか確認し、保存します

　※チェックされていることでユーザーログイン時に、GlobalProtectがログイン時の認証情報で自動ログインします

【シングルサインオンを使用する(Windows)を利用しないユースケース】

・WindowsログオンのアカウントとVPN接続時のユーザ認証情報が異なり、GPエージェントに個別でID/パスワードを入力させたい

・Windows端末への生体認証とVPNの自動接続の併用したい（生体認証用のサーバーへのアクセスにはVPN接続必要である想定）

・Windowsログオン後、他社のワンタイムパスワードを生成させ、OTPでGPエージェントのユーザログインで利用など

　

⑤作成した設定を移動の最上部へ移動をクリックし、最上部に移動します

　※GlobalProtectログイン後のユーザーでアプリケーション設定を適用する場合は追加でプロファイルを作成ください

　※アプリケーション設定の順番はご利用の環境に合わせて設定ください

⑥設定のプッシュのプッシュをクリック、Descriptionに任意の英数字を入力、Config Push ScopeでPrisma Accessを選択し、プッシュをクリックします

6.動作確認

①GlobalProtectをインストール済みのWindows端末の電源を入れます

②ログイン画面で下図のようにGlobalProtect 状態: 接続済みと表示されればPre-Logonの状態です

　※5.でシングルサインオンを使用する(Windows)を有効にしていない場合は表示されませんが、Pre-Logonの状態になります

③ログイン後にGlobalProtectで自動ログインされます

④Strata Cloud ManagerのLog ViewerでNetwork/GlobalProtectを選択するとPre-Logonできていることが確認できます

まとめ

今回は、Prisma AccessのPre-Logonの設定手順をご紹介しました。

本機能を利用することでログイン前に端末認証でVPNトンネルを確立することが可能になります。

是非、皆様の検証時のご参考にしていただけたらと存じます。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております