GlobalProtect:基于一次性密码的两个因子身份验证 - 始终打开
60636
Created On 09/26/18 13:39 PM - Last Modified 05/31/23 18:12 PM
Resolution
在 OTP- 始终打开模式下需要基于身份验证
GlobalProtect在"客场"模式下配置时, GlobalProtect 当
GlobalProtect 用户登录到端点时,代理会自动连接到。 在"始终打开"模式下, GlobalProtect
当用户手动选择"连接"或"重新发现"网络选项或
定期在配置的间隔(默认 24 小时)时,代理连接到门户。 在所有其他时间,如睡眠/唤醒或注销/登录,
GlobalProtect 代理仅与网关通话。
使用案例 1: OTP GlobalProtect 使用始终打开模式需要身份验证 RADIUS
要求 OTP GlobalProtect 在始终打开模式下进行身份验证对于内用器来说更加痛苦。
OTP每次 GlobalProtect 尝试连接时都会提示Enduser,即每次
有睡眠/唤醒或网络更改或注销/登录时。 使用 GlobalProtect "身份验证覆盖"
功能可最大限度地减少用户被提示的次数 OTP ,并提供更好的用户体验。
此用例的建议配置:
备选案文 1:
- 需要 OTP 对门户和网关进行身份验证
- 在门户中,
- 将用户凭据设置为 "是"
- 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
- 将饼干的使用寿命设置为 N "小时"。 N""小时是用户不再被提示使用凭据的时间。 N根据您要提供的用户体验选择""。 通常24小时可能是一个很好的价值, cookie 的一生。
- 考虑:
- 如果 RADIUS / OTP 服务器被配置为需要用户名和密码, OTP 无需等待挑战,然后在门户中
- 将 "保存用户凭据" 设置为 "仅保存用户名", 并
- 在需要动态密码的组件下,启用 GlobalProtect 这些组件需要 OTP 。 例如,如果门户和自动发现网关是唯一需要的组件,则启用用于门户和外部网关的复选框-自动发现 OTP 。
门户–代理客户端配置
- 在网关,
- 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
- 将饼干的使用寿命设置为 N "小时"。 通常24小时可能是一个很好的价值, cookie 的一生。
- 请确保使用相同的证书在门户和网关中加密/解密 cookie。
- 注: 如果需要撤销用于身份验证覆盖的证书,使用专用证书进行身份验证 Cookie 加密和解密可具有灵活性。
网关 OTP 配置
有了这个 GlobalProtect 配置,并 OTP 配置了服务器, 要求用户首先提供用户名/密码,然后 OTP 只需要在受到挑战后,最终用户体验将是:
备选办法 2:
- OTP仅要求门户和手动网关
- 要求自动发现网关的证书和活动目录凭据
- 在门户中,
- 将用户凭据设置为 "是"
- 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
- 将饼干的寿命设置为 N "天"。 N''天是多久用户将不会再被提示为凭据。 N根据您要提供的用户体验选择""。 通常14天可能是一个很好的价值, cookie 的一生。
- 考虑:
- 如果 RADIUS / OTP 服务器被配置为需要用户名和密码, OTP 无需等待挑战,然后在门户中
- 将 "保存用户凭据" 设置为 "仅保存用户名", 并
- 在需要动态密码的组件下,启用 GlobalProtect 这些组件需要 OTP 。 例如,如果门户和自动发现网关是唯一需要的组件,则启用用于门户和外部网关的复选框-自动发现 OTP 。
- 如果自动发现网关认证所需的客户端证书尚未分发,请考虑使用 SCEP 。
- 此 SCEP 已颁发的证书可用作自动发现网关的客户证书。
- 将 SCEP 证书续期设置为 10 天。
门户–代理客户端配置
证书续期 SCEP
- 在自动发现网关中,
- 同时需要证书和 AD / LDAP 身份验证
- 启用身份验证重写并启用两种生成 cookie 以进行身份验证重写并接受用于身份验证重写的 cookie。
- 将饼干的使用寿命设置为 N "小时"。 通常24小时可能是一个很好的价值, cookie 的一生。
- 请确保使用相同的证书在门户和网关中加密/解密 cookie。
网关 OTP 配置
- 在手动网关中,
- 需要 OTP 身份验证
- 不要启用用于身份验证重写的生成 cookie, 并且不启用用于身份验证重写的接受 cookie。
有了这个 GlobalProtect 配置和 OTP 服务器配置, 要求用户首先提供用户名/密码,然后 OTP 只需要在受到挑战后,最终用户体验将是:
使用案例 2: OTP GlobalProtect 使用点播模式需要身份验证 SAML
使用 SAML 是实现 OTP 基于身份验证的另一种方式 GlobalProtect 。 有关
SAML 支持 GlobalProtect 和推荐配置的更多详细信息,请在此处查看 GlobalProtect::基于一次性密码的两个因素身份验证
虽然 RADIUS 或 SAML 支持 GlobalProtect 允许您 OTP 在连接到时实现基于身份验证 GlobalProtect , 但多因素身份验证 MFA () 提供了 OTP 在访问特定资源时需要的方法。 在下一篇文章中对此的详细介绍。