GlobalProtect bittet Kunden zweimal um AuthentifizierungsNachweise

Szenario

EIN Palo Alto Netzwerkgerät ist sowohl als GlobalProtect Gateway als auch als GlobalProtect Portal konfiguriert. Das Portal GlobalProtect Gateway und GlobalProtect wurden mit verschiedenen Authentifizierungs Profilen konfiguriert.

Problem

Wenn ein GlobalProtect-Client mit dem Palo Alto Networks-Gerät verbunden ist, bittet das Gerät zweimal um authentifizierungsnachweise. Selbst wenn sich der Client erfolgreich auf Gateway authentifiziert, wird Logs einen Authentifizierungs Ausfall anzeigen.

Ursache

Der GlobalProtect-Client verbindet sich zunächst mit dem GlobalProtect-Portal. Dies kann den Benutzer um authentifizierungsnachweise in Abhängigkeit von dem auf dem Portal konfigurierten Authentifizierungs Profil veranlassen. Das GlobalProtect-Portal wird den Client dann an das GlobalProtect-Gateway leiten, das sich auf dem gleichen Gerät befindet. Das Gerät sendet auch automatisch Berechtigungen, die an Portal zur Authentifizierung an das Gateway zur Verfügung gestellt werden. Mit einem anderen Authentifizierungs Profil, das auf dem GlobalProtect-Gateway konfiguriert ist, kann dies zu einem fehlgeschlagenen Authentifizierungs Versuch führen und der Benutzer wird aufgefordert, seine authentifizierungsnachweise für das Gateway-Authentifizierungs Profil einzugeben.

Lösung

PAN-OS 6,0 hat eine neue Option "Authentifizierungs Modifikator" im Rahmen des GlobalProtect Portals > Client Configuration > General tab eingeführt. Das "verschiedene Passwort für externes Gateway"-Modifikator (wie im Screenshot unten gezeigt) zeigt an, dass das Portal und das Gateway unterschiedliche authentifizierungsnachweise verwenden. Dies führt dazu, dass die Palo Alto Networks Firewall den Benutzer für Gateway Password auffordert, nachdem die Portal Authentifizierung erfolgreich ist.

Besitzer: Mdjeric