GlobalProtect Client mit RADIUS Zwei-Faktor-Authentifizierung (2FA) nicht auf die Sicherheitsregel

GlobalProtect Client mit RADIUS Zwei-Faktor-Authentifizierung (2FA) nicht auf die Sicherheitsregel

44709
Created On 09/26/18 13:48 PM - Last Modified 06/16/23 18:26 PM


Resolution


Problem

Der Client, der GlobalProtect RADIUS die Zwei-Faktor-Authentifizierung (2FA) verwendet, trifft die Sicherheitsregel nicht, wenn die Benutzer-/Gruppenzuordnung konfiguriert ist.

 

Ursache

Das firewall Benutzer-/Gruppenzuordnungsformat von Palo Alto Networks versteht ein DOMAIN USERNAME . Wenn ein GlobalProtect Client, der sich mit dem RADIUS Serverprofil authentifiziert hat, ohne das konfigurierte Domänenfeld, DOMAIN das Teil fehlen könnte. Der firewall verfügt nicht über die Kenntnis der richtigen Benutzer-zu-Gruppen-Zuordnung.

77777. png


Snapshot des RADIUS Authentifizierungsprofils

 

entschluß

Testen Sie das RADIUS Serverprofil ohne das Domänenfeld, das mit dem folgenden Befehl konfiguriert CLI wurde:

> zeigen die aktuellen globalen schützen Gateway Benutzer

 

GlobalProtect Gateway: GATEWAY2 (1 Benutzer)

Tunnelname : GATEWAY2-N

        Domain-Benutzername : .user1 <===== MISSING DOMAIN NAME     

      Computer : PALO- 34E24R21H0

Kunde:

Mobil ID :

Privat IP : 0.0.0.0

Öffentlich IP : 10.129.31.105

        ESP: keine

        SSL: keine

Login-Zeit : Sep.03 16:06:31

Logout/Ablauf : Okt.03 16:06:31

        TTL: 2592000

Inaktivität TTL : 10800

 

 

> Benutzer User-Ip-Mapping zeigen alle

 

 

IPVsys Von User IdleTimeout(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP benutzer1 2591997 2591997 <===== MISSING DOMAIN NAME

Gesamt: 1 Benutzer

 

2014-09-03 16:06:28.761 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED

2014-09-03 16:06:28.762 + 0800 Anfrage erhalten Sie zum Entsperren vsys1/LDAP_AUTH_PROF/sglab \ user1

2014-09-03 16:06:28.763 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 16:06:28.763 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.476 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: der Versuch, den Benutzer zu entfernten authentifizieren: user1

2014-09-03 16:06:31.476 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Anfrage <'vsys1','RAIDIUS1','user1'>

2014-09-03 16:06:31.480 + 0800 Authentifizierung ist für Benutzer gelungen<vsys1,RAIDIUS1,user1></vsys1,RAIDIUS1,user1>

2014-09-03 16:06:31.480 + 0800 Authentifizierung ist für entfernte Benutzer gelungen<user1(orig:user1)></user1(orig:user1)>

2014-09-03 16:06:31.480 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: user1 authresult auth' ED

2014-09-03 16:06:31.480 +0800 Anforderung empfangen, um vsys1/RAIDIUS1/user zu entsperren1 <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 16:06:31.481 + 0800 User ' user1 ' authentifiziert.Von: 10.129.31.105.

2014-09-03 16:06:31.481 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync wird über sysd ausgelöst

2014-09-03 16:06:31.483 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): Holen Sie sich lokale Informationen für vsys1/RAIDIUS1

 

Ohne den Domänennamen kann der Benutzername für die Sicherheitsregel verwendet werden, sofern er ohne das Teil verwendet DOMAIN wird. Die Gruppenzuordnung funktioniert für den GlobalProtect authentifizierten Benutzer zu diesem Zeitpunkt nicht.

Snapshot der Policy Sicherheitsliste

 

Testen mit RADIUS dem Serverprofil mit dem konfigurierten Domänenfeld:

     Radius -

        RADIUS {

Server - Server

            RADIUS {

secret - AQ ==5en6G6MezRroT3XKqkdPOmY/BfQ=AdEd9ZFNsuxCvAJJtn2Y+; A

Hafen 1812;

ip-Adresse 10.129.31.105;

}

}

prüfgruppe nein;

Domäne sglab; <=====

 

  GlobalProtect Gateway: GATEWAY2 (1 Benutzer)

Tunnelname : GATEWAY2-N

  Domain-Benutzername : sglab-user1 <===== CORRECT FORMAT DOMAIN /USERNAME

      Computer : PALO- 34E24R21H0

Client : Microsoft Windows Server 2003, Enterprise Edition Service Pack

Mobil ID :

Privat IP : 192.168.112.2

Öffentlich IP : 10.129.31.105

        ESP: vorhanden

        SSL: keine

Login-Zeit : Sep.03 15:53:06

Logout/Ablauf : Okt.03 15:53:06

        TTL: 2591410

Inaktivität TTL : 10210

 

 

> Benutzer User-Ip-Mapping zeigen alle

 

 

IPVsys Von User IdleTimeout(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.112.2 vsys1 GP sglab-user1 2591399 2591399 <===== CORRECT FORMAT DOMAIN /USERNAME

Gesamt: 1 Benutzer

 

 

> Schwanz folgen ja mp-log authd.log

2014-09-03 15:53:03.173 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED

2014-09-03 15:53:03.173 + 0800 Anfrage erhalten Sie zum Entsperren vsys1/LDAP_AUTH_PROF/sglab \ user1

2014-09-03 15:53:03.174 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105. <===== GP PORTAL LDAP AUTHENTICATION

2014-09-03 15:53:03.174 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.357 + 0800 Debug: pan_authd_service_req (pan_authd. c:3316): authd: Versuch, den Benutzer zu entfernten authentifizieren: user1

2014-09-03 15:53:06.357 +0800 debug: pan_authd_service_auth_req(pan_authd.c:1158): AUTH Anfrage <'vsys1','RAIDIUS1','user1'>

2014-09-03 15:53:06.361 + 0800 Authentifizierung für Nutzer gelungen<vsys1,RAIDIUS1,sglab\user1></vsys1,RAIDIUS1,sglab\user1>

2014-09-03 15:53:06.361 + 0800 Authentifizierung ist für entfernte Benutzer gelungen<sglab\user1(orig:user1)></sglab\user1(orig:user1)>

2014-09-03 15:53:06.361 + 0800 Debug: pan_authd_process_authresult (pan_authd. c:1353): pan_authd_process_authresult: sglab\user1 authresult auth' ED

2014-09-03 15:53:06.361 +0800 Anforderung empfangen, um vsys1/RAIDIUS1/sglab-user1 zu entsperren <===== GP GATEWAY RADIUS AUTHENTICATION

2014-09-03 15:53:06.362 + 0800 User ' sglab\user1 ' authentifiziert.Von: 10.129.31.105.

2014-09-03 15:53:06.362 +0800 debug: pan_authd_generate_system_log(pan_authd.c:866): CC Enabled=False

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4444): localprofile Sync wird über sysd ausgelöst

2014-09-03 15:53:06.364 + 0800 Debug: authd_sysd_localprofile_callback (pan_authd. c:4464): Holen Sie sich lokale Informationen für vsys1/RAIDIUS1

 

Hinweis: Da die Palo Alto-Netzwerke firewall die Benutzernamenauthentifizierung im Format von - an RADIUS den Server DOMAIN USERNAME senden, muss der Server so konfiguriert sein, dass er den Empfang dieses Formats RADIUS versteht, da andernfalls ein Authentifizierungsfehler auftritt.

 

Mit dem Domain-Namen kann der Benutzername auf der Sicherheitsregel verwendet werden. Benutzer-und Gruppen-Mapping sollten nun richtig funktionieren, wie unten gezeigt:

7777777. png

 

Dasselbe gilt für das LDAP Serverprofil; das Domänenfeld muss ebenfalls konfiguriert werden, damit die Palo Alto-Netzwerke firewall für DOMAIN USERNAME authentifizierte Benutzer das richtige Format von - GlobalProtect haben:

77777777. png

 

Besitzer: Jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpJCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language