GlobalProtect インバウンド認証後にキャプティブ ポータルにリダイレクトしない
17125
Created On 04/07/19 11:13 AM - Last Modified 08/15/23 17:04 PM
Symptom
GlobalProtect 次の記事を使用して、多要素認証通知を容易にするように構成された
:https://docs.paloaltonetworks.com/ globalprotect /8-0/ globalprotect -admin/認証/configure globalprotect - -多要素認証通知を容易にするクライアント.htmlが
GlobalProtect ゲートウェイに正常に接続 GlobalProtect し、アクセスルート (内部リソース用) がクライアントマシンにプッシュされます。 RDP SSH 内部リソースに対してまたは内部リソースに接続しようとすると、 GlobalProtect クライアントはゲートウェイから受信認証プロンプトを受け取ります MFA 。
[認証] をクリックすると、ポート 6082 のキャプティブ ポータル リダイレクト ホスト IP への接続が試行されますが、接続がタイムアウトし RDP 、/ SSH が失敗します。
Environment
– リダイレクトモードで設定されたキャプティブポータル
– Policy サービス TCP /3389 および TCP /22 に設定
された認証 - GlobalProtect 多要素認証通知を容易にするように設定
Cause
これは、キャプティブ ポータル リダイレクト ホスト IP または IP 対応する解決 FQDN がクライアントから到達できない場合に発生する可能性があります GlobalProtect 。 たとえば、キャプティブ ポータル リダイレクト ホスト IP はプライベート IP 192.168.1.254 で設定されていますが、 GlobalProtect アクセス ルートは 192.168.1.0/30 で設定されています IP が、これには 192.168.1.254 は含まれていません。 この場合、クライアント マシンはトンネルを介してではなく、独自のリンクを介して 198.51.100.254 に接続しようとします。
Resolution
MFA GlobalProtect 適切な Redirect Host アドレスを使用して、トンネルを通してページ認証が行われるように IP するか、ゲートウェイ設定のアクセスルートを変更します GlobalProtect 。たとえば、エントリ 192.168.1.254/32 を内部リソース サブネットと共に [分割トンネルの一覧を含める] 設定に追加します。