GlobalProtect con el cambio de comportamiento de RSA OTP de PAN-OS 7.0.1 o posterior

Antes de pan-OS 7,0, el servidor genera una cookie después de la autenticación exitosa del portal. Esta cookie se puede utilizar para autenticar a Gateway que es igual que el portal para que el usuario no se le solicite para el desafío de OTP.

Comenzando con pan-os 7,0, esta cookie se ha ido y tenemos que configurar el modificador de autenticación (en la red > GlobalProtect > Portals > configuración del cliente > general) a "autenticación de cookies para la actualización de config" (también conocido como CACR). 

El cliente GlobalProtect obtiene CACR cookie después de la autenticación de portal exitosa. CACR cookie sólo se utiliza para la autenticación de portales. Con CACR configurado, la primera vez que el GP conecta, el usuario todavía consigue el aviso para el desafío de OTP para el portal y la entrada. La posterior conexión GP sólo puede solicitar al usuario que ingrese OTP Challenge para Gateway, si GP tiene una cookie CACR válida para iniciar sesión en portal.

Flujo de proceso:

1. Al conectarse al portal por primera vez, utilice OTP para autenticar.
2. El portal generará una cookie encriptada y se enviará al cliente GlobalProtect.
3. El cliente GlobalProtect se conectará a la puerta de enlace y tendrá que volver a utilizar OTP.
4. En el futuro, cuando el usuario desee conectarse a GlobalProtect de nuevo, GlobalProtect Client utilizará la cookie que se recibió de portal en el paso 2, y sólo usará OTP cuando se conecte a la pasarela. La vida útil de esta cookie es configurable, por lo que puede establecerlo como desee.