GlobalProtect 与 RSA OTP 的行为改变从泛 OS 7.0.1 或更高版本

在 Pan OS 7.0 之前, 服务器在成功的门户身份验证之后生成一个 cookie。此 cookie 可用于对与门户相同的网关进行身份验证, 这样用户就不会收到 OTP 挑战的提示。

从 PAN OS 7.0 开始, 这个 cookie 消失了, 我们需要配置身份验证修饰符 (在网络 >> GlobalProtect >> 门户 > 客户端配置 > 一般) 到 "配置刷新的 cookie 身份验证" (也称为 CACR)。 

成功的门户身份验证后, GlobalProtect 客户端获得 CACR cookie。CACR cookie 仅用于门户身份验证。使用 CACR 配置后, 第一次 GP 连接时, 用户仍会对门户和网关的 OTP 挑战进行提示。如果 gp 有有效的 CACR cookie 登录到门户, 则随后的 gp 连接可能只会提示用户输入对网关的 OTP 挑战。

工艺流程:

1. 第一次连接到门户时, 请使用 OTP 进行身份验证。
2. 门户将生成一个加密的 cookie 并发送到 GlobalProtect 客户端。
3. 然后, GlobalProtect 客户端将连接到网关, 并再次使用 OTP。
4. 将来, 当用户希望再次连接到 GlobalProtect 时, GlobalProtect 客户端将使用在步骤2中从门户收到的 cookie, 并且只有在连接到网关时才使用 OTP。此 cookie 的生存期是可配置的, 因此您可以按需要设置它。