PaloAlto の CaptivePortal 認証除外設定 | SEの道標
PaloAlto

PaloAlto の CaptivePortal 認証除外設定

PaloAlto の Captive Portal 認証除外設定

PaloAlto で、ある NW セグメントを Captive Portal の認証対象とするケースを考えます。

その NW セグメントの中に、「この IP だけは認証情報を打たなくても通信できるようにさせたい!」というニーズがあったとします。

そんなときは XML-API を使えば、対象 IP だけを Captive Portal で常に認証成功された状態にすることができます。

XML-APIの使い方

NW 通信だけを使っての自動連携も可能ですが、PaloAlto の WebUI を使って手動登録のほうがわかりやすく簡単です。

XML-API 用の WebUI は API Browser と呼ばれており、URL は以下の通りです。

https://[PaloのFQDN]/api/

すると下記画面が出ます。

XML-API を使うためには本来「API-KEY」情報が必要になりますが、通常の管理 Web コンソールへログインを行う等で認証が為された状態で上記 URL へアクセスすれば、API-KEY 無しで操作ができます。

認証登録=認証除外設定

API Browser で「User ID」をクリックし、以下のような XML を入力し、Submit します。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="test-user1" ip="192.168.1.1"></entry>
<entry name="test-user2" ip="192.168.1.2"></entry>
</login>
</payload>
</uid-message>

削除したいときは以下 XML を入力し、Submit します。


<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<logout>
<entry name="test-user1" ip="192.168.1.1"></entry>
</logout>
</payload>
</uid-message>

ip="~"のあとに timeout=XXと入れれば、登録後XX秒後にタイムアウトされますが、これを入れなければ、削除(logout)するまで有効になり続けます。

確認はCLIからできます。

# show user ip-user-mapping all | match Never
192.168.1.2  vsys1  XMLAPI  test-user2  Never  Never

コメント

タイトルとURLをコピーしました