1. Эгида: ID
  2. Настройка ресурсов
  3. Настройка VPN
Настройка VPN
Настройка Check Point Настройка Cisco VPN Настройка Cisco ISE Настройка Cisco FTD Настройка Open VPN Настройка Open VPN Access Настройка VMware Horizon Настройка FortiGate Настройка Palo Alto Настройка WatchGuard Настройка Windows VPN с RRAS Настройка UserGate Настройка Ideco VPN Настройка Континент 4 Настройка Mikrotik VPN Настройка Huawei SSL VPN

Настройка Palo Alto

Шаги, необходимые для настройки двухфакторной аутентификации в Palo Alto:

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Шаг 1

Создание конфигурации ресурса

  1. Зайдите в кабинет администратора.
  2. Перейдите в «Ресурсы» и выберите Palo Alto.
  3. Добавьте новую конфигурацию.

  4. Заполните настройки:

    • Название конфигурации: укажите любое имя, например, Kontur.ID.

    • : укажите операционную систему, на которой будет развернут серверный компонент RADIUS.

    • Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
    • Shared Secret: скопируйте и сохраните секрет  он понадобится для настройки Palo Alto.
    • Основной фактор: укажите Active Directory, OTP-код или Radius.
    • Второй фактор: выберите второй фактор  OTP-код или Push/звонок
    • Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
    • Саморегистрация пользователей: включите или отключите саморегистрацию.

    • Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.

  5. Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Шаг 2

Настройка RADIUS-сервера Palo Alto VPN

  1. Войдите в административный интерфейс Palo Alto.
  2. На вкладке Device перейдите в Server Profiles → RADIUS.
  3. Нажмите кнопку Add для добавления нового профиля RADIUS-сервера.

  4. Заполните настройки:

    • Profile Name: укажите любое имя, например, Kontur.ID RADIUS.

    • Timeout (sec): 60 или более.

    • Retriers: 3.

    • Authentication Protocol: PAP.

      Пользователи PAN-OS 7.x должны установить протокол PAP через CLI с помощью следующей команды: set authentication radius-auth-type pap 

  5. В разделе Servers нажмите кнопку Add для добавления RADIUS-сервера.

  6. Заполните настройки:

    • Server: укажите любое имя, например, Kontur.ID RADIUS.

    • Radius Server: укажите IP-адрес сервера, на котором установлен RADIUS-адаптер.

    • Secret: скопируйте Shared Secret из панели управления Контур.ID или из файла appsettings.json.

    • Port: укажите номер порта, на котором работает RADIUS-адаптер или оставьте по умолчанию: 1812.

  7. Нажмите OK.
Шаг 3

Настройка профиля аутентификация Palo Alto

  1. На вкладке Device перейдите к Authentication Profile.
  2. Нажмите кнопку Add для добавления нового профиля аутентификации.

  3. Заполните настройки:

    • Name: укажите любое имя, например, Kontur.ID RADIUS.

    • Type: укажите RADIUS.

    • Server Profile: укажите профиль RADIUS-сервера, созданный на шаге 6 в настройках RADIUS-сервера выше.

    • User domain (необязательно): заполните при необходимости.

    • Username modifier (необязательно): заполните при необходимости.

  4. Перейдите на вкладку Advanced.
  5. Выберите all. Или установите ограничение на конкретную группу, к которой применится новый профиль аутентификации.
  6. Нажмите OK.
Шаг 4

Настройка портала GlobalProtect Palo Alto

  1. На вкладке Network в боковом меню перейдите к GlobalProtect → Portals.
  2. Нажмите на настроенный портал GlobalProtect, чтобы открыть окно свойств.
  3. На вкладке Authentication в свойствах GlobalProtect Portals выберите профиль службы SSL/TLS для портала.
  4. Перейдите на вкладку Authentication  Client Authentication и нажмите кнопку Add. 

  5. Заполните настройки:

    • Name: укажите любое имя, например, Kontur.ID.

    • OS: Any.

    • Authentication Profile: выберите профиль аутентификации, созданный на шаге 3 в настройках профиля аутентификации выше.

  6. Нажмите OK.
Шаг 5

Настройка шлюза GlobalProtect Palo Alto

  1. На вкладке Network в боковом меню перейдите к GlobalProtect → Portals.
  2. Нажмите на настроенный шлюз GlobalProtect, чтобы открыть окно свойств.
  3. На вкладке Authentication в свойствах GlobalProtect Gateway выберите профиль службы SSL/TLS для шлюза.
  4. В левом нижнем углу Client Authentication нажмите кнопку Add.
     

  5. Заполните настройки:

    • Name: укажите любое имя, например, Kontur.ID.

    • OS: Any.

    • Authentication Profile: выберите профиль аутентификации, созданный на шаге 3 в настройках профиля аутентификации выше.

  6. Нажмите OK.

Нажмите Commit в правом верхнем углу интерфейса, чтобы применить изменения. Настройка двухфакторной аутентификации в Palo Alto VPN завершена.

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель

Попробовать бесплатно

База знаний