GlobalProtect Dual Factor Authentication with client Certificate for Windows

GlobalProtect Dual Factor Authentication with client Certificate for Windows

19126
Created On 09/25/18 19:43 PM - Last Modified 02/07/19 23:59 PM


Resolution


Le portail a l'adresse IP de 192.168.16.18

Topology.png

Voici l'étape supplémentaire qui doit être effectuée pour configurer l'authentification à double facteur. Le client fournira le mot de passe et le certificat pour s'authentifier avec le portail et/ou la passerelle. Dans cet exemple, le pare-feu est utilisé pour créer un certificat d'AUTORITÉ de certification racine, un certificat client.

 

1) créer un certificat d'AUTORITÉ de certification racine sur le pare-feu

 

Root. png

2. Créer un certificat sur PA One pour GP

GP. png

 

3. Utilisez votre PKI d'entreprise ou une autorité de certification publique pour émettre un certificat client unique à chaque utilisateur GlobalProtect. Le CN du certificat doit correspondre au FQDN ou à l'ADRESSE IP que vous utilisez pour GP. Le client doit présenter un certificat client unique qui identifie l'utilisateur final afin de se connecter à GlobalProtect. Tous les clients peuvent utiliser le même certificat de partage ou peuvent avoir leur propre certificat individuel.

 

Client. png

 

 

3. Créez un profil de certification pour l'authentification du client et appelez la racine CA.

 

Si le profil de certificat ne spécifie pas de champ Username (c'est-à-dire que le champ username est défini sur None), le certificat client n'a pas besoin d'avoir de nom d'utilisateur. Dans ce cas, le client doit fournir le nom d'utilisateur lors de l'authentification par rapport au profil d'Authentification.

 

Si le profil de certificat spécifie un champ username, le certificat que le client présente doit contenir un nom d'utilisateur dans le champ correspondant. Par exemple, si le profil de certificat spécifie que le champ username est Subject, le certificat présenté par le client doit contenir une valeur dans le champ nom commun ou l'authentification échoue. En outre, lorsque le champ username est requis, la valeur du champ Username du certificat sera automatiquement remplie comme nom d'utilisateur lorsque l'utilisateur tentera d'entrer des informations d'identification

 

Certificate Profile. png

4. Appeler ce profil de certificat sous Configuration portail et passerelle

 

Portal. png

Gateway. png

 

5. Installez le certificat sur l'ordinateur client. Si le certificat n'est pas installé après le message d'erreur sera vu:

 

Certificate. png non valide
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language