Azure RADIUS MFA 不提示文本代码 GlobalProtect
11758
Created On 02/13/19 15:44 PM - Last Modified 08/13/21 21:40 PM
Symptom
- GlobalProtect 身份验证设置为 RADIUS
- RADIUS 服务器身份验证协议 PEAP- MSCHAPv2
- RADIUS MFA配置为文本消息的蔚蓝
- 输入用户名/密码后 GlobalProtect ,永远不会弹出"输入代码"的第二个身份验证提示 PIN 。
- 在 CLI 节目"奥思"中.log的验证FAILED
>less mp-log authd.log Auth FAILED for user "testuser" thru <"Radius_Authentication", "vsys1">: remote server 10.0.0.10 of server profile "Radius" is down, or in retry interval, or request timed out (elapsed time 55 secs, max allowed 55 secs)
- 短信 MFA 选项要求 Azure 半径服务器向 firewall 客户端发送身份验证挑战 GP 。 在 firewall 验证.log,我们没有看到任何迹象显示收到 RADIUS 挑战传递给客户。
Environment
- PAN-OS 8.1。3
- GlobalProtect
- RADIUS 使用 PEAP- MSCHAPv2 进行身份验证
- 通过短信蔚蓝 MFA
Cause
CHAPV2 和 EAP Azure AD 多因素不支持单向短信
Resolution
根据所使用的协议使用支持的 Azure AD 多因素
- PAP 支持云中 Azure AD 多因素身份验证的所有身份验证方法:电话、单向短信、移动 app 通知、 OATH hardware 令牌和移动 app 验证码。
- 查普夫 2 EAP 支持电话和移动 app 通知。
将现有网络 Policy 服务器 NPS () 基础结构与 Azure AD 多因素身份验证集成