Azure RADIUS MFA no solicita código de texto para GlobalProtect
11762
Created On 02/13/19 15:44 PM - Last Modified 08/13/21 21:40 PM
Symptom
- GlobalProtect Autenticación establecida en RADIUS
- RADIUS Protocolo de autenticación de PEAP- servidor MSCHAPv2
- Azure RADIUS MFA configurado con mensaje de texto
- Después de introducir el nombre de usuario / contraseña para GlobalProtect el segundo mensaje de autenticación para "Introducir PIN código" nunca apareció.
- El authd.log en CLI muestra ""Auth FAILED"
>less mp-log authd.log Auth FAILED for user "testuser" thru <"Radius_Authentication", "vsys1">: remote server 10.0.0.10 of server profile "Radius" is down, or in retry interval, or request timed out (elapsed time 55 secs, max allowed 55 secs)
- La opción de mensaje de texto MFA requiere que el servidor RADIUS de Azure envíe un desafío de autenticación a la firewall retransmisión al GP cliente. En firewall authd.log, no vimos ninguna indicación de recibir RADIUS el desafío para pasar abajo al cliente.
Environment
- PAN-OS 8.1.3
- GlobalProtect
- RADIUS Autenticación mediante PEAP- MSCHAPv2
- Azure MFA a través de un mensaje de texto
Cause
el mensaje de texto unidireccional no se admite para CHAPV2 y EAP para Azure AD Multi-Factor
Resolution
Uso de un factor múltiple de Azure compatible AD basado en el protocolo usado
- PAP admite todos los métodos de autenticación de Azure AD Multi-Factor Authentication en la nube: llamada telefónica, mensaje de texto unidireccional, app notificación OATH hardware móvil, tokens y app código de comprobación móvil.
- CHAPV2 y EAP soporte de llamadas telefónicas y app notificaciones móviles.
Integración de la infraestructura de servidor de red ( ) existente Policy NPS con Azure Multi-Factor AuthenticationInteg your existing Network Server ( ) infrastructure with Azure AD Multi-Factor Authentication