GlobalProtect mit RSA OTP Verhaltensänderung von PAN-OS 7.0.1 oder später

Vor Pan-OS 7,0 generiert der Server nach erfolgreicher Portal Authentifizierung ein Cookie. Dieses Cookie kann verwendet werden, um sich auf Gateway zu authentifizieren, das wie Portal ist, so dass der Benutzer nicht nach OTP Challenge gefragt wird.

Beginnend mit PAN-OS 7,0 ist dieses Cookie verschwunden und wir müssen Authentifizierungs-Modifikator (unter Netzwerk > GlobalProtect > Portale > Client-Konfiguration > allgemein) auf "Cookie-Authentifizierung für config-refresh" (auch bekannt als CACR) konfigurieren. 

Der GlobalProtect-Client erhält nach erfolgreicher Portal Authentifizierung KAKR-Cookie. CACR-Cookie wird nur für die Portal Authentifizierung verwendet. Mit CACR konfiguriert, das erste Mal, dass GP verbindet, wird der Benutzer immer noch prompt für OTP Challenge für Portal und Gateway. Die anschließende GP-Verbindung kann den Benutzer nur dazu veranlassen, OTP Challenge für Gateway einzugeben, wenn GP ein gültiges CACR-Cookie hat, um sich bei Portal anzumelden.

ProzessAblauf:

1. Wenn Sie sich zum ersten Mal mit dem Portal verbinden, verwenden Sie OTP, um sich zu authentifizieren.
2. Das Portal generiert ein verschlüsseltes Cookie und wird an den GlobalProtect-Client gesendet.
3. Der GlobalProtect-Client wird dann mit dem Gateway verbunden und muss OTP wieder verwenden.
4. In Zukunft, wenn der Benutzer sich wieder mit GlobalProtect verbinden will, wird der GlobalProtect-Client das Cookie verwenden, das von Portal in Schritt 2 empfangen wurde, und OTP nur dann verwenden, wenn es sich mit dem Gateway verbindet. Die Lebensdauer dieses Cookie ist konfigurierbar, so dass Sie es so einstellen können, wie Sie wollen.