Captive Portal funktioniert nicht mit HTTPS Sessions

Captive Portal funktioniert nicht mit HTTPS Sessions

68961
Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM


Symptom


Symptome

Captive Portal (CP)-Benutzer sind, geben ihren Benutzernamen und Ihr Kennwort vor jeder Aktivität. Jedoch wenn captive Portal-Benutzer einige Https-Websites aufrufen, sehen sie nicht die captive Portal-Seite, ihre Anmeldeinformationen einzugeben. Infolgedessen identifiziert die Palo Alto Networks Firewall nicht, wer der Benutzer ist (weil HTTPS Sessions die captive Portal-Seite unter Umgehung sind).

Diagnose

  • Verwenden Sie keine entschlüsselt-Richtlinien für die bekannten Benutzer. Sie werden nach der Eingabe ihrer Anmeldeinformationen bekannt sein.
  • Verwenden Sie eine entschlüsselt-Richtlinie für unbekannte drahtlose Benutzer, um sicherzustellen, dass Sie die Captive Portal-Seite erhalten, wenn Sie eine HTTPS-Session/Website öffnen. Bis und wenn diese Benutzer ihre Anmeldeinformationen eingeben, werden sie unbekannte Benutzer so captive Portal wegen SSL-Entschlüsselung ausgelöst wird.
  • Entschlüsselung Richtlinie für unbekannte Benutzer stellen sicher, dass Benutzer immer eine captive Portal-Seite unabhängig von der Website erhalten, das sie versuchen zu gehen. 

Resolution


Voraussetzung

 

  • Kenntnis der SSL-Entschlüsselung
  • Wissen captive Portal (CP)

Nicht funktionierende Szenario

  1. Unbekannte Nutzer aus der drahtlosen Zone versuchen, https://www.Google.com zu besuchen.
  2. Da es sich um eine SSL-Sitzung handelt, kann die captive Portal-Seite nicht auslösen.
  3. Die Firewall ist nicht in der Lage, den Benutzer zu identifizieren, der keine captive Portal-Seite erhält.

 

Arbeiten-Szenario

Benötigen Sie einen SSL-Entschlüsselung im Ort, um ein captive Portal-Seite zu injizieren, wenn Benutzer einer beliebigen URL (Https) besucht.

Hier geht es zum Konfigurieren von SSL-Entschlüsselung

Um captive Portal zu konfigurieren, klicken Sie hier

 

Entnehmen Sie bitte den Screenshot und die folgende Beschreibung:

 

 1. PNG

 

Arbeiten-Szenario

  • Entschlüsselung Politik 1 sagt nicht entschlüsseln, drahtlose Benutzer bekannt.
  • Entschlüsselung Politik 2 sagt entschlüsseln alle Datenverkehr von der WLAN-Zone.

 

  1. Unbekannte Nutzer aus der drahtlosen Zone versuchen, https://www.Google.com zu besuchen.
  2. Entschlüsselung Politik 2 löst und bietet eine CP-Seite.
  3. Unbekannter Benutzer wieder versucht andere Https-Website besuchen, die CP-Seite wird erneut aufgefordert, wegen Entschlüsselung Politik 
  4. Benutzer Anmeldeinformationen eingibt und ist Teil einer Gruppe Captive-Portal-GFK (mit AD für die Authentifizierung der Benutzer CP).
  5. Jetzt die Firewall bewusst ist der Benutzer und der Entschlüsselung 1 Trigger werden und wird keinen weiteren Verkehr aus der bekannten Benutzer nicht entschlüsseln - Benutzer erhalten eine Warnseite Zertifikat nicht.
  6. Sicherheitspolitik ist auch erforderlich, im Ort, basierend auf Gruppe und Zone individuell. Erstellen Sie eine gruppenspezifische Richtlinie, auf der Oberseite und eine Zone-spezifische Politik darunter.

 

Erklärung der Warnmeldung

Unbekannter Benutzer werden aus der WLAN-Zone kommen, und gibt es keine Möglichkeit für sie, das selbstsignierte Zertifikat zu installieren, so dass sie eine Warnmeldung erhalten, für den Fall, dass die Entschlüsselung vorhanden ist.

 

Wenn Sie eine Fremdanbieter-Zertifikat für CP verwenden, nach Benutzer-Authentifizierung, die keine Decryp-Regel angewendet wird, und keine Aufforderung für Zertifikatwarnungen werden.

 

Danke.

 

Tarang Srivastav
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClevCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language