GlobalProtect 向客户端请求身份验证凭据两次

方案

帕洛阿尔托网络设备配置为 GlobalProtect 网关和 GlobalProtect 门户。GlobalProtect 网关和 GlobalProtect 门户已使用不同的身份验证配置文件进行了配置。

问题

当 GlobalProtect 客户端连接到帕洛阿尔托网络设备时, 设备将请求身份验证凭据两次。即使客户端成功地对网关进行身份验证, 日志也会显示身份验证失败。

原因

GlobalProtect 客户端首先连接到 GlobalProtect 门户。这可能会提示用户提供身份验证凭据, 具体取决于门户上配置的身份验证配置文件。然后, GlobalProtect 门户将引导客户端到位于同一设备上的 GlobalProtect 网关。该设备还将自动向门户发送提供的凭据, 以便对网关进行身份验证。在 GlobalProtect 网关上配置了不同的身份验证配置文件后, 这可能会导致身份验证尝试失败, 并会提示用户为网关身份验证配置文件输入其身份验证凭据。

解决办法

PAN OS 6.0 在 GlobalProtect 门户 > 客户端配置 > "常规" 选项卡中引入了一个新的 "认证修饰符" 选项。"外部网关的不同密码" 修饰符 (如下面的截图所示) 指示门户和网关使用不同的身份验证凭据。这将导致帕洛阿尔托网络防火墙在门户身份验证成功后提示用户输入网关密码。

所有者： mdjeric