PaloAlto の CaptivePortal 認証除外設定

PaloAlto の Captive Portal 認証除外設定

PaloAlto で、ある NW セグメントを Captive Portal の認証対象とするケースを考えます。

その NW セグメントの中に、「この IP だけは認証情報を打たなくても通信できるようにさせたい!」というニーズがあったとします。

そんなときは XML-API を使えば、対象 IP だけを Captive Portal で常に認証成功された状態にすることができます。

XML-APIの使い方

NW 通信だけを使っての自動連携も可能ですが、PaloAlto の WebUI を使って手動登録のほうがわかりやすく簡単です。

XML-API 用の WebUI は API Browser と呼ばれており、URL は以下の通りです。

https://[PaloのFQDN]/api/

すると下記画面が出ます。

XML-API を使うためには本来「API-KEY」情報が必要になりますが、通常の管理 Web コンソールへログインを行う等で認証が為された状態で上記 URL へアクセスすれば、API-KEY 無しで操作ができます。

認証登録=認証除外設定

API Browser で「User ID」をクリックし、以下のような XML を入力し、Submit します。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="test-user1" ip="192.168.1.1"></entry>
<entry name="test-user2" ip="192.168.1.2"></entry>
</login>
</payload>
</uid-message>

削除したいときは以下 XML を入力し、Submit します。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<logout>
<entry name="test-user1" ip="192.168.1.1"></entry>
</logout>
</payload>
</uid-message>

ip="~"のあとに timeout=XXと入れれば、登録後XX秒後にタイムアウトされますが、これを入れなければ、削除(logout)するまで有効になり続けます。

確認はCLIからできます。

# show user ip-user-mapping all | match Never
192.168.1.2  vsys1  XMLAPI  test-user2  Never  Never

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG