Problem
Die Palo Alto Networks Firewall ist für NTLM Captive Portal konfiguriert, um Benutzer zu authentifizieren. Ein unbekannter Nutzer versucht, auf eine Webseite zuzugreifen, und die Captive-Portal-Richtlinie bringt die Authentifizierungsseite auf. Sobald Sie jedoch authentifiziert sind, lädt die ursprüngliche, vom Benutzer vorgesehene Zielseite nicht. Stattdessen erscheint eine Verbindungs-Timeout-Nachricht:
Hinweis: in Pan-OS 5,0 wird die NTLM-Aktion als "Browser-Challenge" bezeichnet. In Pan-OS 4,0, 4,1 wird die gleiche Aktion als "NTLM-auth" bezeichnet.
Lösung
Obwohl die NTLM-Methode der Captive-Portal-Authentifizierung keine Benutzer Intervention benötigt, müssen Antwortseiten auf der Firewall-umgeleiteten Schnittstelle aktiviert werden.
1. Gehen Sie zum Netzwerk > Netzwerk Profile > Interface Mgmt.
2. Wählen Sie das Interface-Management-Profil, das auf das Captive Portal umgeleitet wird.
3. Antwortseiten aktivieren.
Fehlerbehebung
Tipps zur Unruhe von NTLM Captive Portal:
- Ein User-ID-Agent sollte im Netz laufen.
- Der Webbrowser-Client sollte NTLM unterstützen, ansonsten muss er gegebenenfalls aktiviert sein. Der IE-Browser sollte keine Probleme haben.
- Vergewissern Sie sich, dass die Benutzeridentifikation auf der jeweiligen Zone (auf der Seite Netzwerk > Zone) überprüft wird.
- Die Umleitungs Methode wird für die NTLM-Authentifizierung empfohlen.
- Stellen Sie sicher, dass Gefangene Portal Regeln erstellt werden und erlauben Sie den Quell Benutzern.
Zum Beispiel, Testen CP-Policy-Match-Quelle 192.168.10.1 Destination 4.2.2.2 - CLI-Befehle, um anwendbare Protokolle anzuzeigen:
# Debug l3svc auf Debug
# less MP-Log appweb3-l3svc. log
# Debug l3svc auf Info - CLI-Befehle, um den Benutzernamen in der Firewall zu löschen, wenn bereits erkannt
> klarer Benutzer-Cache alle
> Clear- Benutzer-Cache-MP alle - Der Benutzer sollte als authentifiziert durch "NTLM" mit folgendem Befehl identifiziert werden:
> Benutzer-IP-User-Mapping IP 192.168.10.1
Siehe auch
Fehlerbehebung Captive Portal Umleitung Seite Probleme
Besitzer: Ssunku