GlobalProtect avec le changement de comportement RSA OTP de PAN-OS 7.0.1 ou ultérieur

Avant Pan-OS 7,0, le serveur génère un cookie après l'authentification réussie du portail. Ce cookie peut être utilisé pour s'authentifier auprès de Gateway qui est identique au portail afin que l'utilisateur ne soit pas invité à relever le défi OTP.

À partir de Pan-OS 7,0, ce cookie a disparu et nous avons besoin de configurer le modificateur d'Authentification (sous réseau > GlobalProtect > portails > configuration du client > général) à "cookie Authentication for config Refresh" (également connu sous le nom CACR). 

Le client GlobalProtect obtient le cookie CACR après l'authentification réussie du portail. Le cookie CACR est uniquement utilisé pour l'authentification du portail. Avec CACR configuré, la première fois GP se connecte, l'utilisateur obtient toujours prompt pour le défi d'OTP pour le portail et la passerelle. La connexion GP suivante peut seulement inciter l'utilisateur à entrer dans OTP Challenge pour Gateway, si GP a un cookie CACR valide pour se connecter au portail.

Flux de processus:

1. Lorsque vous vous connectez au portail pour la première fois, utilisez OTP pour l'authentifier.
2. Le portail générera un cookie chiffré et sera envoyé au client GlobalProtect.
3. Le client GlobalProtect se connecte ensuite à la passerelle et doit à nouveau utiliser OTP.
4. À l'avenir, lorsque l'utilisateur souhaite se connecter à GlobalProtect à nouveau, GlobalProtect client utilisera le cookie qui a été reçu à partir du portail à l'étape 2 et n'utilisera OTP qu'en cas de connexion à la passerelle. La durée de vie de ce cookie est configurable, de sorte que vous pouvez le définir comme vous le souhaitez.