GlobalProtect Fordert Systemschlüsselbundzugriff auf OS X Mac-Clients an
Symptom
Die Computerzertifikatauthentifizierung wird auf MAC OS X Clients verwendet. Während des GlobalProtect Verbindungsvorgangs muss der Benutzer die Anmeldeinformationen des lokalen Administrators-Kontos eingeben, um den Zugriff auf den Systemschlüsselbund zweimal zu ermöglichen.
Environment
- Vorhandene GlobalProtect Infrastruktur
- macOS-Endpunkte
Cause
Wenn Sie Computerzertifikate mit GlobalProtect Mac OS X Clients verwenden, muss auf das Zertifikat über den Schlüsselbund "System" in zugegriffen MAC OS X werden.Dies führt dazu, dass eine Eingabeaufforderung für den Schlüsselbundzugriff zweimal angezeigt wird, wenn der Client versucht, auf das Zertifikat zur Überprüfung sowohl für das Portal als auch für das Gateway zuzugreifen.
Resolution
Als Problemumgehung können Sie die folgenden Schritte implementieren:
- Öffnen Sie die Keychain Access-Anwendung, und suchen Sie das Computerzertifikat, das dem Mac OS X Client ausgestellt wurde, im Systemschlüsselbund.
- Klicken Sie mit der rechten Maustaste auf den privaten Schlüssel, der dem Zertifikat zugeordnet ist, und klicken Sie auf Informationen abrufen, und gehen Sie dann zur Registerkarte Zugriffssteuerung
- Klicken Sie auf "+", um eine Anwendung auszuwählen, damit
- Drücken Sie die Tastenkombination <Command>+ <Shift> G +, um zum Ordner zu öffnen</Shift> </Command>
- Geben Sie '/Applications/ GlobalProtect .app/Contents/Resources' ein und klicken Sie auf Gehe
- Suchen Sie PanGPS, und klicken Sie darauf, und drücken Sie dann Add
- Änderungen an privaten Schlüssel speichern
Hinweis: Die obigen Schritte ermöglichen GlobalProtect den Zugriff auf nur Zertifikat und privaten THIS Schlüssel.Es wird nicht mehr für Schlüsselbund-Zugriff, so dass Benutzer eine nahtlose, No-Touch-Erfahrung mit Palo Alto Networks GlobalProtect .
Hinweis: Wenn die oben angegebene Problemumgehung nicht funktioniert, gehen Sie bitte wie aus folgenden Arbeiten aus:
- Verschieben des Zertifikats aus dem Systemschlüsselbund in den Anmeldeschlüssel
- Schritt 1 sollte dann eine Eingabeaufforderung ähnlich wie unten erstellen.Klicken Sie auf "Immer zulassen"
- Das Verfahren muss jedes Mal wieder durchgeführt werden, wenn der Kunde aktualisiert wird.