Portail captif ne fonctionne ne pas avec les Sessions HTTPS

Portail captif ne fonctionne ne pas avec les Sessions HTTPS

68947
Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM


Symptom


Symptômes

Utilisateurs (CP) du portail captifs doivent entrer leurs noms d’utilisateur et mot de passe avant toute activité. Toutefois, lorsque les utilisateurs du portail captifs accédez à certains sites https, ils ne voient pas la page de portail captive à entrer leurs informations d’identification. Par conséquent, le pare-feu de Palo Alto Networks n’identifie pas qui l’utilisateur est (car les sessions HTTPS sont sans passer par la page de portail captive).

Diagnostic

  • Utilisez une stratégie no Decrypt pour les utilisateurs connus. Ils seront connus après avoir entré les informations d’identification.
  • Utilisez une stratégie de décryptage pour les utilisateurs sans fil inconnus pour s'assurer qu'ils obtiennent la page portail captif quand ils ouvrent une session HTTPS/site Web. Jusqu'à ce qu’et à moins que ces utilisateurs entrent leurs informations d’identification, ils seront des utilisateurs inconnus, sorte de portail captif se déclenche à cause de décryptage SSL.
  • Politique de décryptage pour utilisateurs inconnus assurerai utilisateurs obtiennent toujours une page de portail captive, indépendants du site à qu'ils essaient d’aller. 

Resolution


Condition sine qua non

 

  • Connaissance du décryptage SSL
  • Connaissance de portail captif (CP)

Scénario de non-travail

  1. Utilisateur inconnu de la zone sans fil essaie de visiter https://www.google.com.
  2. Puisque c’est une session SSL, la page de portail captive ne peut pas déclencher.
  3. Le pare-feu est incapable d’identifier l’utilisateur, qui ne reçoit pas une page de portail captive.

 

Scénario de travail

Besoin d’un décryptage SSL au lieu d’injecter une page de portail captive, chaque fois que l’utilisateur accède à une URL (https).

Cliquez ici pour configurer le décryptage SSL

Cliquez ici pour configurer le portail captif

 

Veuillez vous référer à la capture d’écran et la description ci-dessous :

 

 1.PNG

 

Scénario de travail

  • Décryptage politique 1 ne dit aucun décrypter sans fil utilisateurs connus.
  • Décryptage politique 2 dit décrypter tout le trafic provenant de la zone sans fil.

 

  1. Utilisateur inconnu de la zone sans fil essaie de visiter https://www.google.com.
  2. Décryptage politique 2 déclenche et propose une page de CP.
  3. Utilisateur inconnu tente encore visiter d’autres sites https, la page de CP est à nouveau invitée à cause de la politique de décryptage 
  4. Utilisateur a entré les informations d’identification et fait partie d’un groupe, en captivité-portail-grp (en utilisant AD pour authentifier les utilisateurs du CP).
  5. Maintenant, le pare-feu est au courant de l’utilisateur et la stratégie de décryptage 1 se déclenche et ne déchiffrera pas tout autre trafic de l’utilisateur connu - l’utilisateur ne recevra pas une page d’avertissement de certificat.
  6. Politique de sécurité est également nécessaire en place, basé sur le groupe et zone individuellement. Créez une stratégie de groupe spécifique une politique axée sur la zone en dessous et le dessus.

 

Explication du message d’avertissement

Utilisateurs inconnus viendront partir de la zone sans fil et n’a aucun moyen pour eux d’installer le certificat auto-signé, afin qu’ils obtiendront un message d’avertissement dans le cas où le déchiffrement est en place.

 

Si vous utilisez un certificat tiers pour CP, après authentification de l’utilisateur, appliquera la règle interdisant les decryp, et il n’y aura aucune demande d’avertissements de certificat.

 

Merci.

 

Malika hebib
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClevCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language