Le portail captif NTLM est redirigé vers l'hôte mais ne charge pas la page Web

Le portail captif NTLM est redirigé vers l'hôte mais ne charge pas la page Web

20296
Created On 09/26/18 13:50 PM - Last Modified 06/15/23 20:15 PM


Resolution


Demande client

Le pare-feu de Palo Alto Networks est configuré pour le portail captif NTLM pour authentifier les utilisateurs. Un utilisateur inconnu tente d'accéder à une page Web et la stratégie de portail captif affiche la page d'authentification. Toutefois, une fois authentifié, le site de destination d'origine destiné aux utilisateurs ne se charge pas. Au lieu de cela, un message d'expiration de connexion apparaît:
CP11. Png

Remarque: dans Pan-OS 5,0, l'action NTLM est étiquetée «Browser-Challenge». Dans Pan-OS 4,0, 4,1 la même action est étiquetée'NTLM-auth'.

 

Résolution

Bien que la méthode NTLM d'authentification de portail captif n'ait besoin d'aucune intervention de l'utilisateur, elle requiert que les pages de réponse soient activées sur l'interface de redirection du pare-feu.

1. Accédez au réseau > profils réseau > interface Mgmt.

2. Sélectionnez le profil de gestion de l'interface appliqué à l'interface redirigée du portail captif.

3. Activer les pages de réponse.

Screen Shot 2013-04-10 à 3.27.55 PM. png

 

Résolution des problèmes

Conseils pour dépanner le portail captif NTLM:

  • Un agent d'ID utilisateur doit s'exécuter dans le réseau.
  • Le client du navigateur Web doit prendre en charge NTLM, sinon il doit être activé s'il y a lieu. Le navigateur IE ne devrait pas avoir des problèmes.
  • Assurez-vous que l'option Activer l'identification de l'utilisateur est cochée sur la zone concernée (sur la page Network > zone).
  • La méthode Redirect est recommandée pour l'authentification NTLM.
  • Assurez-vous que les règles de portail captif sont créées et autorisez les utilisateurs source.
    Par exemple, test CP-Policy-match source 192.168.10.1 destination 4.2.2.2
  • Commandes CLI pour afficher les journaux applicables:
    # Debug l3svc sur Debug
    # moins MP-log appweb3-l3svc. log
    # Debug l3svc sur info
  • Commandes CLI pour effacer le nom d'utilisateur dans le pare-feu s'il est déjà détecté
    > effacer l'utilisateur-cache tous les
    > Effacer User-Cache-MP tous
  • L'utilisateur doit être identifié comme authentifié par le biais de "NTLM" avec la commande suivante:
    > Show utilisateur IP-utilisateur-Mapping IP 192.168.10.1

 

Voir aussi

Dépannage des problèmes de redirection de portail captif

 

propriétaire : ssunku
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsMCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language