GlobalProtect: Einmalige passwortbasierte Zwei-Faktor-Authentifizierung -- Always-On
Resolution
Erfordern OTP- einer basierten Authentifizierung im Always-On-Modus
Wenn GlobalProtect der Agent im Aways-On-Modus konfiguriert ist, stellt er automatisch eine Verbindung her, sobald sich der Benutzer am GlobalProtect
GlobalProtect Endpunkt anmeldet. Im Always-On-Modus stellt der Agent eine Verbindung mit dem Portal her, wenn der Benutzer manuell Optionen zum Verbinden oder Wiederherstellen von GlobalProtect Netzwerken oder in regelmäßigen Abständen in einem
konfigurierten Intervall (standardmäßig 24 Stunden) auswählt. Zu allen anderen Zeiten, wie Schlaf / Wake-up oder Abmelden / Anmelden, spricht der
GlobalProtect Agent nur mit dem Gateway.
Anwendungsfall 1: OTP Authentifizierung GlobalProtect für im Always-On-Modus mit RADIUS
Die OTP Anforderung der Authentifizierung für den GlobalProtect Always-on-Modus ist für einen Endbenutzer noch schmerzhafter.
Endbenutzer würde für OTP jedes Mal GlobalProtect versucht, eine Verbindung zu verbinden, das ist jedes
Mal, wenn es einen Schlaf / Weck- oder Netzwerkwechsel oder Abmeldung / Anmeldung. Die Verwendung GlobalProtect der
Authentifizierungsüberschreibungsfunktion von minimiert die Häufigkeit, zu der Benutzer aufgefordert OTP werden, und bietet eine bessere Benutzererfahrung.
Empfohlene Konfiguration für diesen Anwendungsfall:
Variante 1:
- OTPAuthentifizierung für Portal und Gateway erforderlich
- Im Portal,
- Set speichert Benutzerberechtigungen auf "Ja"
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest. ' N ' Stunden ist, wie lange der Benutzer nicht erneut zur Eingabe von Anmeldeinformationen aufgefordert wird. Wählen Sie ' N ' basierend auf der Benutzererfahrung, die Sie bereitstellen möchten. Typischerweise könnten 24 Stunden ein guter Wert für die Lebensdauer von Cookie sein.
- Berücksichtigung:
- Falls der /Server so konfiguriert ist, dass er Username & Password und alles auf einmal benötigt, ohne auf RADIUS eine Herausforderung warten zu OTP OTP müssen, dann im Portal
- Setzen Sie die Berechtigungen für Benutzer, um "nur Benutzername zu speichern" und
- Aktivieren Sie unter Komponenten, die dynamische Kennwörter erfordern, die Komponenten GlobalProtect dieser OTP . Aktivieren Sie beispielsweise die Kontrollkästchen für die automatische Erkennung von Portal- und externen Gateways, wenn Portal- und Auto-Discovery-Gateways die einzigen Komponenten sind, die OTP erforderlich sind.
- Falls der /Server so konfiguriert ist, dass er Username & Password und alles auf einmal benötigt, ohne auf RADIUS eine Herausforderung warten zu OTP OTP müssen, dann im Portal
Portal – Agent-Client-Konfiguration
- Im Tor,
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest. Typischerweise könnten 24 Stunden ein guter Wert für die Lebensdauer von Cookie sein.
- Vergewissern Sie sich, dass Sie das gleiche Zertifikat verwenden, um Cookies sowohl im Portal als auch im Gateway zu verschlüsseln/zu entschlüsseln.
- Hinweis: Die Verwendung eines dedizierten Zertifikats für die Verschlüsselung und Entschlüsselung von Authentifizierungscookies bietet Flexibilität, wenn das für die Authentifizierungsüberschreibung verwendete Zertifikat jemals widerrufen werden muss.
OTPGateway-Konfiguration
Mit dieser GlobalProtect Konfiguration und mit dem OTP Server konfiguriert, dassder Benutzer benutzername / Passwort zuerst angeben, und dann OTP erfordern, nur nach der Herausforderung, die Endbenutzererfahrung wäre:
Variante 2:
- Nur OTP Gateways für portal und Manual erforderlich
- Benötigen Sie ein Zertifikat und aktive Verzeichnis Berechtigungen für Auto-Discovery-Gateways
- Im Portal,
- Set speichert Benutzerberechtigungen auf "Ja"
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Tage fest. ' N ' Tage ist, wie lange benutzer nicht erneut zur Eingabe von Anmeldeinformationen aufgefordert wird. Wählen Sie ' N ' basierend auf der Benutzererfahrung, die Sie bereitstellen möchten. Typischerweise können 14 Tage ein guter Wert für die Lebensdauer von Cookie sein.
- Berücksichtigung:
- Falls der /Server so konfiguriert ist, dass er Username & Password und alles auf einmal benötigt, ohne auf RADIUS eine Herausforderung warten zu OTP OTP müssen, dann im Portal
- Setzen Sie die Berechtigungen für Benutzer, um "nur Benutzername zu speichern" und
- Aktivieren Sie unter Komponenten, die dynamische Kennwörter erfordern, die Komponenten GlobalProtect dieser OTP . Aktivieren Sie beispielsweise die Kontrollkästchen für die automatische Erkennung von Portal- und externen Gateways, wenn Portal- und Auto-Discovery-Gateways die einzigen Komponenten sind, die OTP erforderlich sind.
- Wenn das Clientzertifikat, das für die Authentifizierung an Gateways zur automatischen Ermittlung erforderlich ist, noch nicht verteilt wurde, sollten Sie SCEP verwenden.
- Dieses SCEP ausgestellte Zertifikat kann als Clientzertifikat für Gateways für die automatische Ermittlung verwendet werden.
- Legen Sie den SCEP Zertifikatsverlängerungszeitraum auf 10 Tage fest.
- Falls der /Server so konfiguriert ist, dass er Username & Password und alles auf einmal benötigt, ohne auf RADIUS eine Herausforderung warten zu OTP OTP müssen, dann im Portal
Portal – Agent-Client-Konfiguration
Zertifikatsverlängerungszeitraum für SCEP
- In den Auto-Discovery-Gateways
- Erfordern sie sowohl Zertifikat als auch AD LDAP /authentifizierung
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest. Typischerweise könnten 24 Stunden ein guter Wert für die Lebensdauer von Cookie sein.
- Vergewissern Sie sich, dass Sie das gleiche Zertifikat verwenden, um Cookies sowohl im Portal als auch im Gateway zu verschlüsseln/zu entschlüsseln.
- Im Handbuch nur Gateways,
- Authentifizierung erforderlich OTP
- Aktivieren Sie nicht das Generieren von Cookie für die Authentifizierung und aktivieren Sie nicht Accept Cookie für die Authentifizierung.
Mit dieser GlobalProtect Konfiguration und mit OTP Server konfiguriert, dassder Benutzer benutzername / Passwort zuerst angeben und dann OTP erfordern, nur nach der Herausforderung, die Endbenutzer-Erfahrung wäre:
Anwendungsfall 2: OTP Authentifizierung GlobalProtect im On-Demand-Modus mit SAML
Die Verwendung SAML ist eine weitere Möglichkeit, eine basierte OTP Authentifizierung für zu GlobalProtect erreichen. Weitere Informationen
SAML zum Support GlobalProtect in und den empfohlenen Konfigurationen finden Sie hier: One Time Password based Two Factor GlobalProtectAuthentication
Während RADIUS oder Unterstützung in ermöglicht SAML es GlobalProtect Ihnen, eine basierte Authentifizierung zum Zeitpunkt der Verbindung mit zu zu OTP GlobalProtect erreichen, Multi-Factor Authentication ( MFA ) bietet eine Möglichkeit, OTP zum Zeitpunkt des Zugriffs auf bestimmte Ressourcen erforderlich. Mehr dazu im nächsten Artikel.