NTLM Captive Portal wird an den Host weitergeleitet, lädt aber keine Webseite

NTLM Captive Portal wird an den Host weitergeleitet, lädt aber keine Webseite

14958
Created On 09/26/18 13:50 PM - Last Modified 06/15/23 20:15 PM


Resolution


Problem

Die Palo Alto Networks Firewall ist für NTLM Captive Portal konfiguriert, um Benutzer zu authentifizieren. Ein unbekannter Nutzer versucht, auf eine Webseite zuzugreifen, und die Captive-Portal-Richtlinie bringt die Authentifizierungsseite auf. Sobald Sie jedoch authentifiziert sind, lädt die ursprüngliche, vom Benutzer vorgesehene Zielseite nicht. Stattdessen erscheint eine Verbindungs-Timeout-Nachricht:
CP11. Png

Hinweis: in Pan-OS 5,0 wird die NTLM-Aktion als "Browser-Challenge" bezeichnet. In Pan-OS 4,0, 4,1 wird die gleiche Aktion als "NTLM-auth" bezeichnet.

 

Lösung

Obwohl die NTLM-Methode der Captive-Portal-Authentifizierung keine Benutzer Intervention benötigt, müssen Antwortseiten auf der Firewall-umgeleiteten Schnittstelle aktiviert werden.

1. Gehen Sie zum Netzwerk > Netzwerk Profile > Interface Mgmt.

2. Wählen Sie das Interface-Management-Profil, das auf das Captive Portal umgeleitet wird.

3. Antwortseiten aktivieren.

Screenshot 2013-04-10 um 3.27.55 Uhr. png

 

Fehlerbehebung

Tipps zur Unruhe von NTLM Captive Portal:

  • Ein User-ID-Agent sollte im Netz laufen.
  • Der Webbrowser-Client sollte NTLM unterstützen, ansonsten muss er gegebenenfalls aktiviert sein. Der IE-Browser sollte keine Probleme haben.
  • Vergewissern Sie sich, dass die Benutzeridentifikation auf der jeweiligen Zone (auf der Seite Netzwerk > Zone) überprüft wird.
  • Die Umleitungs Methode wird für die NTLM-Authentifizierung empfohlen.
  • Stellen Sie sicher, dass Gefangene Portal Regeln erstellt werden und erlauben Sie den Quell Benutzern.
    Zum Beispiel, Testen CP-Policy-Match-Quelle 192.168.10.1 Destination 4.2.2.2
  • CLI-Befehle, um anwendbare Protokolle anzuzeigen:
    # Debug l3svc auf Debug
    # less MP-Log appweb3-l3svc. log
    # Debug l3svc auf Info
  • CLI-Befehle, um den Benutzernamen in der Firewall zu löschen, wenn bereits erkannt
    > klarer Benutzer-Cache alle
    > Clear- Benutzer-Cache-MP alle
  • Der Benutzer sollte als authentifiziert durch "NTLM" mit folgendem Befehl identifiziert werden:
    > Benutzer-IP-User-Mapping IP 192.168.10.1

 

Siehe auch

Fehlerbehebung Captive Portal Umleitung Seite Probleme

 

Besitzer: Ssunku
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsMCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language