Portal cautivo no funciona con HTTPS sesiones - Knowledge Base - Palo Alto Networks

Portal cautivo no funciona con HTTPS sesiones

80871

Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM

Symptom

Síntomas de

Los usuarios (CP) del portal cautivos son ingresar sus nombres de usuario y contraseña antes de cualquier actividad. Sin embargo, cuando los usuarios del portal cautivos van a algunos sitios de web https, ellos no ven la página del portal cautiva para ingresar sus credenciales. Por lo tanto, el firewall de Palo Alto Networks no identifica que el usuario es (porque sesiones HTTPS están pasando por alto la página del portal cautiva).

Diagnóstico

Utilice una Directiva sin descifrar para los usuarios conocidos. Se conocerá después de introducir sus credenciales.
Utilice una política de descifrado para los usuarios inalámbricos desconocidos para asegurarse de que obtengan la página del portal cautivo cuando abran una sesión/sitio web https. Hasta y a menos que estos usuarios introducen sus credenciales, serán usuarios desconocidos, por lo que el portal cautivo se activará por el descifrado de SSL.
Política de descifrado para usuarios desconocidos se asegurará de que los usuarios siempre obtienen una página del portal cautiva independiente del sitio web que intentan ir a.

Resolution

Requisito previo

Conocimiento de descifrado de SSL
Conocimiento del portal cautivo (CP)

Escenario de trabajo no

Usuario desconocido de la zona inalámbrica intenta visitar https://www.Google.com.
Puesto que es una sesión SSL, la página del portal cautiva no puede accionar.
El firewall es incapaz de identificar al usuario, que no reciben una página de portal cautiva.

Escenario de trabajo

Necesita un descifrado de SSL en su lugar inyectar una página del portal cautiva cuando el usuario visita cualquier URL (https).

Haga clic aquí para configurar el descifrado de SSL

Haga clic aquí para configurar el portal cautivo

Por favor refiérase a la captura de pantalla y descripción a continuación:

1 PNG

Escenario de trabajo

Política de descifrado 1 no dice descifrar a inalámbrica conocido usuarios.
Política de descifrado 2 dice descifrar todo el tráfico procedente de la zona inalámbrica.

Usuario desconocido de la zona inalámbrica intenta visitar https://www.Google.com.
Política de descifrado 2 activa y proporciona una página de CP.
Usuario desconocido otra vez intenta visitar cualquier otro sitio https, la página de CP se le pide otra vez debido a la política de descifrado
Usuario escribe credenciales y es parte de un grupo cautivo-portal-grp (usando AD para la autenticación de los usuarios de la CP).
Ahora el firewall es consciente de la política de descifrado 1 y usuario se activa y no descifrará cualquier otro tráfico del usuario conocido - el usuario no obtendrá una página de advertencia de certificado.
Política de seguridad también es necesario en el lugar, basado en el grupo y zona individualmente. Crear una directiva de grupo específicos en la parte superior y una política específica de la zona por debajo de ella.

Explicación del mensaje de advertencia

Vendrá usuarios desconocidos de la zona sin hilos y no hay que instalar el certificado autofirmado, así obtendrá un mensaje de advertencia en caso de que la decodificación es en el lugar.

Si está utilizando un certificado de terceros para CP, después de la autenticación de usuario, no se aplicará la regla de decryp, y no habrá ninguna petición de advertencias de certificado.

Gracias.

Tarang Srivastav

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)