Cet article explique comment configurer les paramètres de Pre Login pour fournir une authentification initiale permettant d'accéder en toute sécurité aux réseaux et aux ressources.
Pre Login est un composant essentiel de l'architecture de réseau de Zero Trust Network (ZTNA). Il permet l'accès aux appareils en fonction de leur authentification de dispositif, et avant que l'utilisateur ne soit authentifié. La politique granulaire de Pre Login définit une politique d'accès limité des destinations autorisées qui sont appliquées aux appareils de confiance.
La fonctionnalité Pre Login de Cato résout le problème de l'authentification initiale pour un appareil, un exemple courant étant qu'un nouvel appareil est envoyé à un nouvel utilisateur distant. L'appareil doit se connecter à l'Active Directory (AD) de l'entreprise pour finaliser l'authentification de l'utilisateur. Cependant, comme il s'agit d'un nouveau appareil, il n'y a pas de Windows utilisateurs justificatives sur celui-ci, et utilisateurs non authentifiés ne sont pas autorisés à se connecter à l'AD.
La solution de Cato est basée sur le déploiement préalable d'un certificat de confiance et du Cato Client sur l'appareil. Cela établit suffisamment de confiance pour permettre à l'appareil de se connecter aux ressources Pre Login que vous configurez. Ensuite, l'utilisateur peut s'authentifier en toute sécurité sur l'appareil.
Dès que l'appareil peut se connecter à l'Internet public (par exemple, le WiFi dans la maison de l'utilisateur) ou si un utilisateur Windows se déconnecte, la fonctionnalité Pre Login de Cato permet à l'appareil de se connecter aux ressources Pre Login.
Pendant cette étape de pré-connexion, l'appareil tire son adresse IP de la plage par défaut d'adresses IP. Vous devez vous assurer que votre système est activé pour fonctionner avec la plage par défaut.
L'appareil Windows est pré-configuré avec le Cato Client, un certificat de confiance, et le registre Windows est configuré avec le nom du compte. Le Client se connecte ensuite aux ressources pertinentes, par exemple, se connecter à l'AD et ensuite, l'utilisateur authentifie l'appareil. Une fois que l'appareil Windows s'authentifie avec succès au Cato Cloud, les données d'authentification utilisateur Windows sont enregistrées sur l'appareil, et à l'avenir, il peut s'authentifier et se connecter à l'AD selon les besoins.
Une fois l'utilisateur authentifié, s'il correspond à une règle pour une adresse IP statique ou dynamique, il obtient son adresse de cette plage.
Les appareils Windows qui répondent à tous ces prérequis peuvent utiliser la fonctionnalité Pre Login de Cato.
-
Exigences Client SDP de Cato :
-
Pris en charge à partir de la version 5.4 du Client Windows et supérieures
-
Le Client est installé sur l'appareil
-
-
Exigences de certificat :
-
Téléchargez un certificat de signature privé (pas le certificat Cato) dans l'application de gestion Cato (Accès > Accès client > Certificats de signature)
Pour plus d'informations sur le téléchargement des certificats, consultez cet article.
-
Installer un certificat d'appareil signé sur l'appareil Windows
-
-
Configurer le registre Windows pour le Client sur l'appareil Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN :
-
Activer Pre Login pour cet appareil
PreLogin (DWORD), valeur de données 1
-
Configurer le nom de compte tel qu'il apparaît dans la Cato Management Application
Subdomain (String), données de valeur <sous-domaine du compte>
Par exemple, le Nom du compte SampleCo a le Domaine complet: sampleco.via.catonetworks.com
où sampleco est le <sous-domaine du compte>Vous pouvez afficher le sous-domaine pour votre compte dans Accès > Authentification unique
-
Après que le Client a effectué avec succès l'authentification initiale au Cato Cloud, le registre est mis à jour automatiquement
-
(Optionnel) Si vous configurez Always-On prêt à l'emploi, définissez la clé suivante :
InitialAlwaysOn (DWORD), valeur des données 1
-
-
Pour les comptes qui utilisent un serveur DNS privé (y compris les serveurs AD internes), configurez ces paramètres :
-
Le serveur DNS privé est défini comme une Destination Autorisée
Les serveurs DNS définis pour le compte sont automatiquement inclus comme une Destination Autorisée
-
Le transfert DNS est activé et configuré pour le serveur DNS privé
-
Par défaut, le Cato Client définit le serveur DNS à 10.254.254.1
Si votre compte utilise une plage de service personnalisée, l'adresse IP pour DNS est x.y.z.3
-
-
Les Clients SDP configurés avec Always-On sont uniquement autorisés à se connecter à :
-
WAN - Ressources définies dans les destinations autorisées
-
Internet - Authentifier l'utilisateur avec l'IdP
-
-
Les Clients SDP sans les paramètres Always-On (y compris les nouveaux appareils) sont autorisés à se connecter à :
-
WAN - Ressources définies dans les destinations autorisées
-
Internet - L'appareil Windows peut se connecter à n'importe quelle ressource sur Internet
-
-
Pour des raisons de sécurité, nous vous recommandons de définir la plus petite plage IP pour une Destination Autorisée
Si la pré-connexion et Connecter au démarrage sont toutes deux activées, après le démarrage de l'appareil, le Client entre dans l'état Pré-Connexion. Une fois qu'un utilisateur se connecte à l'appareil, le Client tente d'authentifier l'utilisateur. Pour plus d'informations, consultez Comprendre le flux de connexion du Client Cato.
-
Défi - Un tout nouvel appareil Windows est envoyé à un employé à son domicile. L'AD d'entreprise est derrière un Cato Site, donc le nouvel utilisateur ne peut pas s'y connecter.
-
Solution - L'appareil répond aux prérequis de Pre Login ci-dessus. L'utilisateur allume l'ordinateur, il est autorisé à se connecter à l'AD, et l'utilisateur s'authentifie sur l'AD et est autorisé à se connecter au réseau.
-
Utilisez l'écran Pre Login pour définir les ressources dans les Destinations Autorisées auxquelles les appareils Windows préconfigurés peuvent se connecter. Lorsque le Client sur l'appareil tente de se connecter au Cato Cloud, l'appareil est reconnu comme un appareil de Pre Login.
La Cato Cloud permet à l'appareil de se connecter aux ressources qui sont configurées comme une Destination Autorisée, et les règles du pare-feu WAN et interne ne s'appliquent pas à cette connexion. En outre, les exigences de posture de dispositif ne s'appliquent pas au trafic Pre Login. La Cato Cloud ne permet que le trafic lié au processus de Pre Login.
Une Destination Autorisée peut être une adresse IP, une plage IP ou un hôte (qui est défini pour un site spécifique). Pre Login prend en charge jusqu'à 48 destinations autorisées.
Pour configurer votre compte pour prendre en charge Pre Login :
-
Dans le menu de navigation, cliquez sur Access > Client Access.
-
Élargissez la section Pre Login.
-
Sélectionnez Enable Pre Login.
-
Dans le menu déroulant, sélectionnez l'hôte, l'adresse IP ou la plage IP pour chaque Destination Autorisée.
Note : Pour des raisons de sécurité, n'utilisez pas la plage IP 0.0.0.0 - 255.255.255.255 comme une Destination Autorisée.
-
Cliquez sur Save.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.