GlobalProtect: Autenticación de dos factores basada en contraseña única - Always-On

GlobalProtect: Autenticación de dos factores basada en contraseña única - Always-On

60628
Created On 09/26/18 13:39 PM - Last Modified 05/31/23 18:12 PM


Resolution


Requerir OTP- autenticación basada en el modo Always-On


Cuando GlobalProtect se configura en el modo Aways-On, el agente se conecta automáticamente tan pronto como el usuario inicia sesión en el punto de GlobalProtect
GlobalProtect conexión. En un modo Always-On, el GlobalProtect agente se conecta al portal cuando el usuario selecciona manualmente las
opciones Conectar o Redescubrir red inalámbricas o periódicamente
a intervalos configurados (por defecto 24 horas). En cualquier otro momento, como dormir / despertar o cerrar sesión / iniciar sesión, el
GlobalProtect agente habla con la puerta de enlace solamente.


Caso de uso 1: Requerir OTP autenticación para en modo GlobalProtect Always-On usando RADIUS


Requerir OTP autenticación para en modo GlobalProtect Always-on es aún más doloroso para un usuario final.
Enduser recibiría una pregunta por OTP cada vez que intenta GlobalProtect conectarse, que es cada vez que hay
un sueño / activación o cambio de red o cerrar sesión / iniciar sesión. El uso GlobalProtect de la función De anulación de autenticación minimiza el número de veces que se solicita al usuario
y proporciona una mejor experiencia de OTP usuario.
Configuración recomendada para este caso de uso:


Opción 1:

 

OTP1. png

  • Requerir OTP autenticación tanto para el portal como para la puerta de enlace
  • En el portal,
    • Configurar guardar credenciales de usuario en "Yes"
    • Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
    • Establezca la duración de la cookie en N ' horas. ' N ' horas es cuánto tiempo el usuario no se le pedirá credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
    • Consideración:
      • En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
        • Configure guardar credenciales de usuario en "guardar sólo el nombre" y
        • En Componentes que requieren contraseñas dinámicas, habilite esos componentes GlobalProtect de los que requieren OTP . Por ejemplo, habilite las casillas de verificación Portal y External gateways-auto discovery si las puertas de enlace de detección automática y portal son los únicos componentes que requieren OTP .

     OTP guardar credenciales de usuario.pngPortal: configuración del cliente del agente

  • En la pasarela,
    • Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
    • Establezca la duración de la cookie en N ' horas. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
    • Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.
    • Nota: El uso de un certificado dedicado para el cifrado y descifrado de la cookie de autenticación proporciona flexibilidad si alguna vez es necesario revocar el certificado utilizado para la invalidación de autenticación.

     OTP puerta de enlace de configuración.pngConfiguración de puerta de enlace OTP

Con esta GlobalProtect configuración y con el servidor configurado para OTP   requerir que el usuario proporcione el nombre de usuario / contraseña primero, y después requiere OTP solamente después de ser desafiado, la experiencia del usuario final sería:

 

Opción 2:

 

OTP2. png 

 

  • Requerir OTP para el portal y las puertas de enlace manuales solamente
  • Requerir credenciales de certificado y Active Directory para las pasarelas de descubrimiento automático
  • En el portal,
    • Configurar guardar credenciales de usuario en "Yes"
    • Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
    • Establezca la duración de la cookie en N ' días. ' ' días es cuánto tiempo no se le pedirá al N usuario credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar. Típicamente 14 días podrían ser un buen valor para la vida de la galleta.
    • Consideración:
      • En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
        • Configure guardar credenciales de usuario en "guardar sólo el nombre" y
        • En Componentes que requieren contraseñas dinámicas, habilite esos componentes GlobalProtect de los que requieren OTP . Por ejemplo, habilite las casillas de verificación Portal y External gateways-auto discovery si las puertas de enlace de detección automática y portal son los únicos componentes que requieren OTP .
      • Si el certificado de cliente necesario para la autenticación en puertas de enlace de detección automática aún no se ha distribuido, considere la posibilidad de usar SCEP .
        • Este SCEP certificado emitido se puede utilizar como certificado de cliente para puertas de enlace de detección automática.
        • Establezca el SCEP período de renovación del certificado en 10 días.

     Option2-1. pngPortal: configuración del cliente del agente

     Option2-2. pngPeríodo de renovación de certificados para SCEP

  • En las pasarelas de descubrimiento automático,
    • Requerir certificado y AD / LDAP autenticación
    • Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
    • Establezca la duración de la cookie en N ' horas. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
    • Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.

     OTP puerta de enlace de configuración.pngConfiguración de puerta de enlace OTP

  • En las pasarelas manuales,
    • Requerir OTP autenticación
    • No habilite generar cookie para anular la autenticación y no habilite aceptar cookie para anular la autenticación.

 

 Con esta configuración y con el GlobalProtect servidor configurado OTP para   requerir que el usuario proporcione el nombre de usuario / contraseña primero y luego requerir OTP solamente después de ser desafiado, la experiencia del usuario final sería:

 

 

Caso de uso 2: Requerir OTP autenticación para en modo bajo demanda GlobalProtect usando SAML

 

El uso SAML es otra forma de lograr la autenticación basada para OTP GlobalProtect . Para obtener más detalles sobre
SAML el soporte técnico y las GlobalProtect configuraciones recomendadas, consulte aquí: GlobalProtect: Autenticación de dos factores basada en contraseña única

 

Mientras que RADIUS o soporte en le permite lograr la autenticación basada en el momento de conectarse a SAML GlobalProtect OTP GlobalProtect , Multi-Factor Authentication ( MFA ) proporciona una manera de requerir OTP en el momento de acceder a recursos específicos. Más sobre esto en el próximo artículo.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllVCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language