GlobalProtect:基于一次性密码的两个因子身份验证 - 始终打开

GlobalProtect:基于一次性密码的两个因子身份验证 - 始终打开

60636
Created On 09/26/18 13:39 PM - Last Modified 05/31/23 18:12 PM


Resolution


在 OTP- 始终打开模式下需要基于身份验证


GlobalProtect在"客场"模式下配置时, GlobalProtect 当
GlobalProtect 用户登录到端点时,代理会自动连接到。 在"始终打开"模式下, GlobalProtect
当用户手动选择"连接"或"重新发现"网络选项或
定期在配置的间隔(默认 24 小时)时,代理连接到门户。 在所有其他时间,如睡眠/唤醒或注销/登录,
GlobalProtect 代理仅与网关通话。


使用案例 1: OTP GlobalProtect 使用始终打开模式需要身份验证 RADIUS


要求 OTP GlobalProtect 在始终打开模式下进行身份验证对于内用器来说更加痛苦。
OTP每次 GlobalProtect 尝试连接时都会提示Enduser,即每次
有睡眠/唤醒或网络更改或注销/登录时。 使用 GlobalProtect "身份验证覆盖"
功能可最大限度地减少用户被提示的次数 OTP ,并提供更好的用户体验。
此用例的建议配置:


备选案文 1:

 

OTP1. png

  • 需要 OTP 对门户和网关进行身份验证
  • 在门户中,
    • 将用户凭据设置为 "是"
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的使用寿命设置为 N "小时"。 N""小时是用户不再被提示使用凭据的时间。 N根据您要提供的用户体验选择""。 通常24小时可能是一个很好的价值, cookie 的一生。
    • 考虑:
      • 如果 RADIUS / OTP 服务器被配置为需要用户名和密码, OTP 无需等待挑战,然后在门户中
        • 将 "保存用户凭据" 设置为 "仅保存用户名", 并
        • 在需要动态密码的组件下,启用 GlobalProtect 这些组件需要 OTP 。 例如,如果门户和自动发现网关是唯一需要的组件,则启用用于门户和外部网关的复选框-自动发现 OTP 。

     OTP 保存用户凭据.png门户–代理客户端配置

  • 在网关,
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的使用寿命设置为 N "小时"。 通常24小时可能是一个很好的价值, cookie 的一生。
    • 请确保使用相同的证书在门户和网关中加密/解密 cookie。
    • 注: 如果需要撤销用于身份验证覆盖的证书,使用专用证书进行身份验证 Cookie 加密和解密可具有灵活性。

     OTP 配置网关.png网关 OTP 配置

有了这个 GlobalProtect 配置,并 OTP 配置了服务器,   要求用户首先提供用户名/密码,然后 OTP 只需要在受到挑战后,最终用户体验将是:

 

备选办法 2:

 

OTP2. png 

 

  • OTP仅要求门户和手动网关
  • 要求自动发现网关的证书和活动目录凭据
  • 在门户中,
    • 将用户凭据设置为 "是"
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的寿命设置为 N "天"。 N''天是多久用户将不会再被提示为凭据。 N根据您要提供的用户体验选择""。 通常14天可能是一个很好的价值, cookie 的一生。
    • 考虑:
      • 如果 RADIUS / OTP 服务器被配置为需要用户名和密码, OTP 无需等待挑战,然后在门户中
        • 将 "保存用户凭据" 设置为 "仅保存用户名", 并
        • 在需要动态密码的组件下,启用 GlobalProtect 这些组件需要 OTP 。 例如,如果门户和自动发现网关是唯一需要的组件,则启用用于门户和外部网关的复选框-自动发现 OTP 。
      • 如果自动发现网关认证所需的客户端证书尚未分发,请考虑使用 SCEP 。
        • 此 SCEP 已颁发的证书可用作自动发现网关的客户证书。
        • 将 SCEP 证书续期设置为 10 天。

     option2-1. png门户–代理客户端配置

     option2-2. png证书续期 SCEP

  • 在自动发现网关中,
    • 同时需要证书和 AD / LDAP 身份验证
    • 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
    • 将饼干的使用寿命设置为 N "小时"。 通常24小时可能是一个很好的价值, cookie 的一生。
    • 请确保使用相同的证书在门户和网关中加密/解密 cookie。

     OTP 配置网关.png网关 OTP 配置

  • 在手动网关中,
    • 需要 OTP 身份验证
    • 不要启用用于身份验证重写的生成 cookie, 并且不启用用于身份验证重写的接受 cookie。

 

 有了这个 GlobalProtect 配置和 OTP 服务器配置,   要求用户首先提供用户名/密码,然后 OTP 只需要在受到挑战后,最终用户体验将是:

 

 

使用案例 2: OTP GlobalProtect 使用点播模式需要身份验证 SAML

 

使用 SAML 是实现 OTP 基于身份验证的另一种方式 GlobalProtect 。 有关
SAML 支持 GlobalProtect 和推荐配置的更多详细信息,请在此处查看 GlobalProtect::基于一次性密码的两个因素身份验证

 

虽然 RADIUS 或 SAML 支持 GlobalProtect 允许您 OTP 在连接到时实现基于身份验证 GlobalProtect , 但多因素身份验证 MFA () 提供了 OTP 在访问特定资源时需要的方法。 在下一篇文章中对此的详细介绍。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllVCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language