PaloAltoのCaptivePortal認証除外設定

PaloAltoで、あるNWセグメントをCaptivePortalの認証対象とするケースを考えます。そのNWセグメントの中に、「このIPだけは認証情報を打たなくても通信できるようにさせたい!」というニーズがあったとします。

そんなときはXML-APIを使えば、対象IPだけをCaptivePortalで常に認証成功された状態にすることができます。

XML-APIの使い方

NW通信だけを使っての自動連携も可能ですが、PaloAltoのWebUIを使って手動登録のほうがわかりやすく簡単です。

XML-API用のWebUIはAPI Browserと呼ばれており、URLは以下の通りです。

https://[PaloのFQDN]/api/

すると下記画面が出ます。

XML-APIを使うためには本来「API-KEY」情報が必要になりますが、通常の管理Webコンソールへログインを行う等で認証が為された状態で上記URLへアクセスすれば、API-KEY無しで操作ができます。

認証登録=認証除外設定

API Browserで「User ID」をクリックし、以下のようなXMLを入力し、Submitします。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="test-user1" ip="192.168.1.1"></entry>
<entry name="test-user2" ip="192.168.1.2"></entry>
</login>
</payload>
</uid-message>

削除したいときは以下XMLを入力し、Submitします。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<logout>
<entry name="test-user1" ip="192.168.1.1"></entry>
</logout>
</payload>
</uid-message>

ip="~"のあとに timeout=XXと入れれば、登録後XX秒後にタイムアウトされますが、これを入れなければ、削除(logout)するまで有効になり続けます。

確認はCLIからできます。

# show user ip-user-mapping all | match Never
192.168.1.2  vsys1  XMLAPI  test-user2  Never  Never

PaloAltoの勉強については以下書籍がお薦めです。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする