GlobalProtect solicita credenciales de autenticación a clientes dos veces

Escenario

UN dispositivo de red palo alto está configurado como GlobalProtect Gateway y GlobalProtect portal. La pasarela GlobalProtect y el portal GlobalProtect han sido configurados utilizando diferentes perfiles de autenticación.

Incidencia

Cuando un cliente GlobalProtect se conecta al dispositivo Palo Alto Networks, el dispositivo solicita las credenciales de autenticación dos veces. Incluso si el cliente se autentica correctamente en Gateway, los logs mostrarán un error de autenticación.

Causa

El cliente GlobalProtect se conecta primero al portal GlobalProtect. Esto puede incitar al usuario a obtener credenciales de autenticación en función del perfil de autenticación configurado en el portal. El portal GlobalProtect dirigirá al cliente a la pasarela GlobalProtect, que se encuentra en el mismo dispositivo. El dispositivo también enviará automáticamente las credenciales proporcionadas al portal para la autenticación a la puerta de enlace. Con un perfil de autenticación diferente configurado en el Gateway GlobalProtect, esto puede causar un intento de autenticación fallido y se le pedirá al usuario que ingrese sus credenciales de autenticación para el perfil de autenticación de Gateway.

Resolución

PAN-os 6,0 introdujo una nueva opción de "modificador de autenticación" bajo el portal GlobalProtect > configuración del cliente > ficha General. El modificador "Password diferente for External Gateway" (como se muestra en la captura de pantalla de abajo) indica que el portal y Gateway usan diferentes credenciales de autenticación. Esto hace que el cortafuegos de Palo Alto Networks solicite al usuario la contraseña de Gateway después de que la autenticación del portal tenga éxito.

Propietario: mdjeric