Portail captif ne fonctionne ne pas avec les Sessions HTTPS - Knowledge Base - Palo Alto Networks

Portail captif ne fonctionne ne pas avec les Sessions HTTPS

80877

Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM

Symptom

Symptômes

Utilisateurs (CP) du portail captifs doivent entrer leurs noms d’utilisateur et mot de passe avant toute activité. Toutefois, lorsque les utilisateurs du portail captifs accédez à certains sites https, ils ne voient pas la page de portail captive à entrer leurs informations d’identification. Par conséquent, le pare-feu de Palo Alto Networks n’identifie pas qui l’utilisateur est (car les sessions HTTPS sont sans passer par la page de portail captive).

Diagnostic

Utilisez une stratégie no Decrypt pour les utilisateurs connus. Ils seront connus après avoir entré les informations d’identification.
Utilisez une stratégie de décryptage pour les utilisateurs sans fil inconnus pour s'assurer qu'ils obtiennent la page portail captif quand ils ouvrent une session HTTPS/site Web. Jusqu'à ce qu’et à moins que ces utilisateurs entrent leurs informations d’identification, ils seront des utilisateurs inconnus, sorte de portail captif se déclenche à cause de décryptage SSL.
Politique de décryptage pour utilisateurs inconnus assurerai utilisateurs obtiennent toujours une page de portail captive, indépendants du site à qu'ils essaient d’aller.

Resolution

Condition sine qua non

Connaissance du décryptage SSL
Connaissance de portail captif (CP)

Scénario de non-travail

Utilisateur inconnu de la zone sans fil essaie de visiter https://www.google.com.
Puisque c’est une session SSL, la page de portail captive ne peut pas déclencher.
Le pare-feu est incapable d’identifier l’utilisateur, qui ne reçoit pas une page de portail captive.

Scénario de travail

Besoin d’un décryptage SSL au lieu d’injecter une page de portail captive, chaque fois que l’utilisateur accède à une URL (https).

Cliquez ici pour configurer le décryptage SSL

Cliquez ici pour configurer le portail captif

Veuillez vous référer à la capture d’écran et la description ci-dessous :

Scénario de travail

Décryptage politique 1 ne dit aucun décrypter sans fil utilisateurs connus.
Décryptage politique 2 dit décrypter tout le trafic provenant de la zone sans fil.

Utilisateur inconnu de la zone sans fil essaie de visiter https://www.google.com.
Décryptage politique 2 déclenche et propose une page de CP.
Utilisateur inconnu tente encore visiter d’autres sites https, la page de CP est à nouveau invitée à cause de la politique de décryptage
Utilisateur a entré les informations d’identification et fait partie d’un groupe, en captivité-portail-grp (en utilisant AD pour authentifier les utilisateurs du CP).
Maintenant, le pare-feu est au courant de l’utilisateur et la stratégie de décryptage 1 se déclenche et ne déchiffrera pas tout autre trafic de l’utilisateur connu - l’utilisateur ne recevra pas une page d’avertissement de certificat.
Politique de sécurité est également nécessaire en place, basé sur le groupe et zone individuellement. Créez une stratégie de groupe spécifique une politique axée sur la zone en dessous et le dessus.

Explication du message d’avertissement

Utilisateurs inconnus viendront partir de la zone sans fil et n’a aucun moyen pour eux d’installer le certificat auto-signé, afin qu’ils obtiendront un message d’avertissement dans le cas où le déchiffrement est en place.

Si vous utilisez un certificat tiers pour CP, après authentification de l’utilisateur, appliquera la règle interdisant les decryp, et il n’y aura aucune demande d’avertissements de certificat.

Merci.

Malika hebib

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)