この記事では、プレログイン設定を設定して、ネットワークとリソースに安全にアクセスするための初期認証を提供する方法を説明します。
プレログインはゼロトラストネットワークアーキテクチャ(ZTNA)の重要なコンポーネントです。 これはデバイス認証に基づいてデバイスへのアクセスを提供し、ユーザーが認証される前に行われます。 詳細なプレログインポリシーでは、信頼されたデバイスに適用される許可された宛先の限定アクセスポリシーを定義します。
Catoのプレログイン機能はデバイスの初期認証の問題に対処します。一般的な例として、新しいデバイスが新しいリモートユーザーに送られることがあります。 デバイスはユーザー認証を完了するために、会社のActive Directory(AD)に接続する必要があります。 しかし、これは新規デバイスなので、Windowsユーザーの資格情報はなく、認証されていないユーザーはADへの接続が許可されていません。
Catoのソリューションは、デバイスに信頼できる証明書とCatoクライアントを事前に展開することに基づいています。 これにより、デバイスが設定されたプレログインリソースに接続できるほどの信頼が確立されます。 これにより、ユーザーは安全にデバイスに認証できます。
デバイスがパブリックインターネット(たとえば、ユーザーの自宅のWiFi)に接続できるようになるとすぐに、またはWindowsユーザーがサインアウトした場合、Catoプレログイン機能によりデバイスがプレログインリソースに接続できるようになります。
このプレログイン段階では、デバイスはデフォルトのIPアドレス範囲からIPアドレスを取得します。 システムがデフォルト範囲で動作するように設定されていることを確認する必要があります。
Windowsデバイスは、Catoクライアント、信頼できる証明書、およびアカウント名で設定されたWindowsレジストリを使って事前設定されます。 クライアントは次に関連するリソースに接続し、例としてADに接続し、その後ユーザーがデバイスを認証します。 WindowsデバイスがCatoクラウドに正常に認証されると、Windowsユーザーの資格情報がデバイスに保存され、将来的には必要に応じてADに認証および接続することができます。
ユーザーが認証されると、静的または動的IPアドレスのルールに一致している場合、その範囲からアドレスを取得します。
これらの前提条件をすべて満たすWindowsデバイスは、Catoのプレログイン機能を使用できます。
-
Cato SDPクライアントの要件:
-
Windowsクライアントv5.4以降でサポートされます
-
クライアントはデバイスにインストールされています
-
-
証明書の要件:
-
Cato Management Application (Access > Client Access > Signing certificates) にプライベート署名証明書(Cato 証明書ではありません)をアップロードします。
証明書のアップロードについての詳細は、この記事を参照してください。
-
署名済みデバイス証明書をWindowsデバイスにインストールします
-
-
デバイス上のクライアントのためにWindowsレジストリを設定します Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN:
-
このデバイスでプレログインを有効にする
PreLogin (DWORD), 値データ 1
-
Cato管理画面で表示されるようにアカウント名を設定します
サブドメイン (文字列), 値データ <アカウントサブドメイン>
例えば、アカウント名SampleCoには、完全なドメインがあります: sampleco.via.catonetworks.com
ここで sampleco は‹アカウントのサブドメイン›ですアクセス > シングルサインオンでアカウントのサブドメインを表示できます
-
クライアントがCato Cloudへの初期認証を正常に実行した後、レジストリは自動的に更新されます
-
(オプション)Always-Onを初期設定する場合は、次のキーを定義してください:
InitialAlwaysOn (DWORD)、値のデータ 1
-
-
プライベートDNSサーバー(内部ADサーバーを含む)を使用しているアカウントの場合、これらの設定を構成します:
-
プライベートDNSサーバーは許可された宛先として定義されます
アカウント用に定義されたDNSサーバーは自動的に許可された宛先として含まれます
-
DNSフォワーディングが有効になっており、プライベートDNSサーバーの設定が構成されています
-
デフォルトでは、CatoクライアントはDNSサーバーを10.254.254.1に設定します
アカウントがカスタムサービス範囲を使用している場合、DNSのIPアドレスはx.y.z.3です
-
-
常時オンで構成されたSDPクライアントのみが接続を許可されています:
-
WAN - 許可された宛先に定義されたリソース
-
インターネット - ユーザーをIdPで認証します
-
-
常時オン設定のないSDPクライアント(新しいデバイスを含む)は次のリソースに接続できます:
-
WAN - 許可された宛先で定義されたリソース
-
インターネット - Windowsデバイスはインターネット上の任意のリソースに接続できます
-
-
セキュリティ理由のため、許可された宛先に対して最小のIP範囲を定義することをお勧めします
事前ログインとConnect on Bootの両方が有効な場合、デバイスが起動するとクライアントは事前ログインの状態になります。 ユーザーがデバイスにサインインすると、クライアントはユーザーの認証を試みます。 詳細については、Catoクライアント接続フローの理解をご覧ください。
-
チャレンジ - 真新しいWindowsデバイスが従業員の自宅に送られました。 企業のADはCatoサイトの背後にあるため、新しいユーザーはそれに接続できません。
-
解決策 - デバイスは上記のプレログインの前提条件を満たしています。 ユーザーはコンピュータをオンにし、ADに接続することが許可され、ユーザーはADに認証されてネットワークに接続することができます。
-
プレログイン画面を使用して、あらかじめ設定されたWindowsデバイスが接続できる許可された宛先のリソースを定義します。 デバイス上のクライアントがCato Cloudに接続しようとすると、そのデバイスはプレログインデバイスとして認識されます。
Cato Cloudは、許可された宛先として設定されているリソースへのデバイス接続を許可し、WANおよび内部のファイアウォールルールはこの接続に適用されません。 さらに、デバイスポスチャーの要件はプレログイントラフィックに適用されません。 Cato Cloudはプレログインプロセスに関連するトラフィックのみを許可します。
許可された宛先には、IPアドレス、IP範囲、またはホスト(特定のサイト用に定義されている)が含まれます。 プレログインは最大48の許可された宛先をサポートします。
0件のコメント
サインインしてコメントを残してください。