안녕하세요. 

 

오늘은 PaloAlto Global Protect cisco DUO PROXY redundancy에 대해서 알아보겠습니다.

 

https://itblog-kr.tistory.com/93

 

[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo

안녕하세요.  이번에는 PaloAlto Global Protect에서 2FA를 사용해보겠습니다. 2FA은 CISCO DUO입니다. okta도 가능 합니다. Windows Server 설치 아래를 참고 부탁드립니다. https://itblog-kr.tistory.com/66 VM생성/등

itblog-kr.tistory.com

 

Server01: Active Directory, DNS, Cisco DUO Proxy

Server02: Active Directory, DNS, cisco DUO proxy 

 

Portal authentication - LDAP -  Server 01, Server01 죽으면 Server02

Gateway Authentication - DUO Proxy 2FA - Server 01, Server 01 죽으면 server02

 

Cisco DUO Proxy Server01 설정

[ad_client]
host=192.168.10.224
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY 
skey= DUO CLOYD에서 COPY 
api_host= DUO CLOYD에서 COPY 
radius_ip_1=192.168.10.93
radius_secret_1=XXXXX
failmode=safe
client=ad_client
port=1812

 

Cisco DUO Proxy Server02 설정

[ad_client]
host=192.168.10.225
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY 
skey= DUO CLOYD에서 COPY 
api_host= DUO CLOYD에서 COPY 
radius_ip_1=192.168.10.93
radius_secret_1= XXXXX
failmode=safe
client=ad_client
port=1812

 

1. PALOALTO Radius 설정

 

2. Authentication Profile 설정

 

3. Authentication Sequence 설정

 

4. GP Portal Authentication Protal 설정

 

LDAP01 우선순위 죽으면 LDAP02

 

5. GP Gateway authentication 설정

 

Commit를 누르고 테스트를 진행합니다.

 

GP 연결 테스트 

 

 



Server01 NIC를 Disable 하고 테스트를 합니다.

 

지금까지 글을 읽어주셔서 감사합니다.

+ Recent posts