GlobalProtect がクライアントに認証資格情報を2回要求する
Resolution
シナリオ
パロアルトネットワークデバイスは、GlobalProtect ゲートウェイと GlobalProtect ポータルの両方として構成されています。GlobalProtect ゲートウェイと GlobalProtect ポータルは、異なる認証プロファイルを使用して構成されています。
問題
GlobalProtect クライアントがパロアルトネットワークデバイスに接続すると、デバイスは認証資格情報を2回要求します。クライアントがゲートウェイに正常に認証された場合でも、ログは認証エラーを示します。
原因
GlobalProtect クライアントは、最初に GlobalProtect ポータルに接続します。これにより、ポータルで構成されている認証プロファイルに応じて、ユーザーに認証資格情報の入力を求めることができます。その後、GlobalProtect Portal は、同じデバイス上にある GlobalProtect ゲートウェイにクライアントを指示します。また、このデバイスは、ポータルに提供された資格情報をゲートウェイへの認証用に自動的に送信します。GlobalProtect ゲートウェイで異なる認証プロファイルが構成されていると、認証の試行が失敗し、ユーザーはゲートウェイ認証プロファイルの認証資格情報を入力するように求められます。
解決方法
PAN-OS 6.0 では、GlobalProtect ポータル > [クライアントの構成] > [全般] タブの下に新しい "認証修飾子" オプションが導入されました。「外部ゲートウェイ用の別のパスワード」修飾子 (下のスクリーンショットに示すように) は、ポータルとゲートウェイが異なる認証資格情報を使用することを示します。これにより、ポータル認証が成功した後、ユーザーにゲートウェイパスワードを要求するように、パロアルトネットワークファイアウォールが発生します。
所有者: mdjeric