Azure RADIUS MFA fordert nicht zur Eingabe von Textcode auf für GlobalProtect
11756
Created On 02/13/19 15:44 PM - Last Modified 08/13/21 21:40 PM
Symptom
- GlobalProtect Authentifizierung auf RADIUS
- RADIUS Serverauthentifizierungsprotokoll PEAP- MSCHAPv2
- Azure RADIUS MFA mit Textnachricht konfiguriert
- Nach der Eingabe von Benutzername / Passwort für GlobalProtect die zweite Authentifizierung wurde die Aufforderung zur Eingabe von PIN "Code eingeben" nie angezeigt.
- Die authd.log in CLI zeigt ""Auth FAILED"
>less mp-log authd.log Auth FAILED for user "testuser" thru <"Radius_Authentication", "vsys1">: remote server 10.0.0.10 of server profile "Radius" is down, or in retry interval, or request timed out (elapsed time 55 secs, max allowed 55 secs)
- Für die MFA Textnachrichtenoption muss azure Radius-Server die Authentifizierungsherausforderung an die firewall Weiterleitung an den Client GP senden. In firewall authd.log haben wir keinen Hinweis darauf gesehen, dass wir eine Herausforderung erhalten RADIUS haben, die an den Kunden weitergegeben werden soll.
Environment
- PAN-OS 8.1.3
- GlobalProtect
- RADIUS Authentifizierung mit PEAP- MSCHAPv2
- Azure MFA über Textnachricht
Cause
Einweg-Textnachrichten werden für CHAPV2 und EAP Azure AD Multi-Factor nicht unterstützt
Resolution
Verwenden eines unterstützten Azure AD Multi-Factor basierend auf dem verwendeten Protokoll
- PAP unterstützt alle Authentifizierungsmethoden von Azure AD Multi-Factor Authentication in der Cloud: Telefonanruf, einseitige Textnachricht, mobile app OATH hardware Benachrichtigung, Token und app mobiler Überprüfungscode.
- CHAPV2 und EAP Unterstützen Sie Telefonanruf und mobile app Benachrichtigung.
Integrieren Sie Ihre vorhandene Policy Netzwerkserverinfrastruktur ( NPS ) in Azure AD Multi-Factor Authentication