Azure RADIUS MFA がテキスト コードを求めないようにする GlobalProtect
11760
Created On 02/13/19 15:44 PM - Last Modified 08/13/21 21:40 PM
Symptom
- GlobalProtect 認証セット RADIUS
- RADIUS サーバー認証プロトコル PEAP- MSCHAPv2
- RADIUS MFAAzure はテキスト メッセージで構成されています
- GlobalProtect「コードを入力してください」の2番目の認証プロンプトのユーザー名/パスワードを入力 PIN した後、決してポップアップしません。
- authd.log CLI は"Auth" を示していますFAILED。
>less mp-log authd.log Auth FAILED for user "testuser" thru <"Radius_Authentication", "vsys1">: remote server 10.0.0.10 of server profile "Radius" is down, or in retry interval, or request timed out (elapsed time 55 secs, max allowed 55 secs)
- テキスト メッセージ MFA オプションでは、認証チャレンジをクライアントに中継する Azure Radius サーバー firewall が必要です GP 。 firewallauthd.logでは、 RADIUS クライアントに渡すチャレンジを受け取るという兆候は見当たりません。
Environment
- PAN-OS 8.1.3
- GlobalProtect
- RADIUS MSCHAPv2 を使用した認証 PEAP-
- MFAテキスト メッセージ経由の Azure
Cause
一方向のテキスト メッセージは、CHAPV2 と EAP Azure AD 多要素のサポートされていません。
Resolution
使用するプロトコルに基づいてサポートされている Azure AD 多要素を使用する
- PAP では AD 、電話、一方向のテキスト メッセージ、モバイル app 通知、トークン、 OATH hardware モバイル検証コードなど、クラウドで Azure 多要素認証のすべての認証方法がサポート app されています。
- チャップヴ2 EAP 電話とモバイル通知をサポート app します。
既存のネットワーク Policy サーバー ( NPS ) インフラストラクチャを Azure AD 多要素認証と統合する