GlobalProtect ne pas rediriger vers le portail captif après l’authentification entrante
17139
Created On 04/07/19 11:13 AM - Last Modified 08/15/23 17:04 PM
Symptom
GlobalProtect configuré pour faciliter les notifications d’authentification multifacteur,
en utilisant globalprotect l’article ci-dessous: https://docs.paloaltonetworks.com/ /8-0/ globalprotect -admin/authentification/configurer- globalprotect -pour faciliter-multi-facteur-authentification-notifications.html.
GlobalProtect client se connecte avec succès GlobalProtect à Gateway, et Access Routes (pour les ressources internes) sont poussés vers la machine cliente. Lorsque vous essayez ou RDP vers SSH une ressource interne, le client reçoit GlobalProtect l’invite d’authentification entrante de MFA Gateway.
Lorsque vous cliquez sur Authentifier, il essaie de se connecter à l’hôte de redirection portail IP captif sur le port 6082, mais les temps de connexion et RDP le / SSH échoue.
Environment
– Portail captif configuré en mode redirection
– Authentification Policy configurée pour le service TCP /3389 TCP et /22
– GlobalProtect configurée pour faciliter les notifications d’authentification multifacteurs
Cause
Cela peut se produire lorsque l’hôte de redirection IP du portail IP captif ou la résolution correspondant est FQDN inaccessible du GlobalProtect client. Par exemple, Captive Portal Redirect Host IP est configuré avec IP 192.168.1.254, mais GlobalProtect l’itinéraire d’accès est configuré avec 192.168.1.0/30, qui IP n’inclut pas le 192.168.1.254. Dans ce cas, la machine cliente tentera de se connecter au 198.51.100.254 par sa propre liaison et non par le tunnel.
Resolution
Assurez-vous que MFA l’authentification de la page se déroule GlobalProtect dans le tunnel en utilisant l’adresse d’accueil IP redirection appropriée ou en modifiant l’itinéraire d’accès sur les GlobalProtect paramètres de la passerelle.Par exemple, ajoutez l’entrée 192.168.1.254/32 à la liste des paramètres du tunnel fractionné ainsi que le sous-réseau de ressources internes.