안녕하세요. 

 

이번에는 PaloAlto Global Protect에서 2FA를 사용해보겠습니다. 2FA은 CISCO DUO입니다. okta도 가능 합니다.

 

Windows Server 설치 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/66

 

[Win2019 Server][#1] - Windows Server 2019 Installation

안녕하세요.  오늘은 VMware Esxi에 Windows Server 2019 trial version를 설치 해서 공부 해보곘습니다.  1. VMware Esxi를 접속 합니다. 가상시스템을 클릭 -> VM생성/등록을 선택 합니다. 2. 다음을 클릭 합니

itblog-kr.tistory.com

Active Directory 설정은 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/68

 

[Win2019 Server][#3] - Active Directory Installation

안녕하세요. 이번에는 Windows Server 2019에서 Active Directory를 설치해보겠습니다.  1. Server Manager를 클릭 합니다. 2. Local Server -> Ethernet0를 선택합니다. 서버는 IP주소가 DHCP가 아닌 Static으로 설정 되

itblog-kr.tistory.com

PaloAlto Global Protect 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/89

 

[PaloAlto FW-#7]- Global Protect(Remote User)

안녕하세요. 이번에는 PaloAlto에서 Global Protect(remote user) 설정에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다. E1/1을 global protect를 설정 하고 팔로알토 로컬 유저를 통해서 인증을 시도

itblog-kr.tistory.com

 

https://itblog-kr.tistory.com/90

 

[PaloAlto FW-#8]- Global Protect(Remote User) with different port

안녕하세요. 오늘은 PaloAlto에서 Global Protect(Remote User) 설정하는데 디폴트 포트443이 아닌 다른 포트로 Global Protect를 설정하는 방법에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다.  MGMT

itblog-kr.tistory.com

 

 

1. Cisco DUO Cloud 계정을 생성합니다. 10 Users까지는 무료로 사용 가능합니다.

   Windows Server는 최소 2016이어야 합니다.

   Cisco DUO Cloud 

 

https://duo.com/

 

Identity Security, MFA & SSO

Protect your workforce with Cisco Duo’s industry leading suite of identity security solutions, Single Sign-On (SSO), and Multi-Factor Authentication (MFA).

duo.com

 

계정 생성하는 방법에 대해서는 생략 하겠습니다.

 

2. 로그인 합니다. 

 

3. Applications -> Protect an application 

paloalto를 Search하고 Protect버튼을 클릭합니다.

 

4.  PaloAlto Documentation를 클릭합니다.

 

Detail에 Integration key와 Secret Key 그리고 API hostname은 나중에 설명하겠습니다.

 

5. 윈도우 서버에서 아래 duo proxy프로그램을 다운로드 받고 설치 합니다. 

 

6. Cisco Duo authentication proxy manager를 실행합니다.

 

아래처럼 수정 합니다.

[ad_client]
host=192.168.10.224
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY 
skey= DUO CLOYD에서 COPY 
api_host= DUO CLOYD에서 COPY 
radius_ip_1=192.168.10.93
radius_secret_1= XXXXX
failmode=safe
client=ad_client
port=1812

 

설정값을 저장하고, Restart를 실행합니다. 

 

7. DUO Cloud 유저를 생성합니다.

AD에서 주기적으로 DUO CLOUD에 동기화 할수 있고 Manual하게 User를 설정 할 수도 있습니다.

 

휴대폰 정보를 입력합니다. 

 

그리고 Cisco DUO 프로그램을 아이폰에서 다운로드 합니다. 

그리고 휴대폰을 cisco DUO cloud에 등록 시킵니다. 

 

휴대폰을 cisco DUO cloud에 정식적으로 등록하지 않으면 cisco DUO를 아이폰에서 실행해도 아무것도 보이지 않습니다.

 

등록해야지 아래처럼 정보값이 보입니다. 

 

8. PaloAlto 에서 설정해보겠습니다.

 

Portal 인증은 AD01과 AD02를 통해서 인증 하도록 하겠습니다

Gateway은 Cisco DUO Proxy를 통해서 휴대폰 push notification을 이용해서 인증해보겠습니다.

 

Portal Authetication 설정값입니다. 

 

9. Radius를 설정합니다.

 

10. Authentication Profile를 생성합니다.

 

11. Portal authentication 설정은 LADP을 통해서 인증합니다

 

12. Gateway를 설정합니다.

 

13. Commit하고 테스트를 진행 합니다.

 

 

Approve버튼을 클릭하면 아래처럼 GP가 연결이 완료 되었습니다.

 

지금까지 PaloAlto Global Protect -2FA에 대해서 알아보았습니다. 

글을 읽어주셔서 감사합니다.

 

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy  (0) 2024.12.10
[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory  (0) 2024.12.10
[PaloAlto FW-#8]- Global Protect(Remote User) with different port  (0) 2024.12.10

+ Recent posts

티스토리툴바