GlobalProtect 入站身份验证后未重定向到捕获门户
17133
Created On 04/07/19 11:13 AM - Last Modified 08/15/23 17:04 PM
Symptom
GlobalProtect 配置以方便多因素身份验证通知,使用以下文章
globalprotect :https://docs.paloaltonetworks.com//8-0/ globalprotect - 管理/认证/配置 globalprotect -促进多因素身份验证通知.html客户
GlobalProtect 端成功连接到 GlobalProtect 网关,访问路线(用于内部资源)被推送至客户端机器。 在尝试 RDP 或 SSH 使用内部资源时, GlobalProtect 客户端会收到来自网关的入站身份验证提示 MFA 。
单击 "身份验证"时,它尝试连接到端口 6082 上的俘虏门户重定向主机 IP ,但连接时间已过, RDP 并且/ SSH 失败。
Environment
–在重定向模式下配置的俘虏门户
– Policy 为服务 TCP /3389和 TCP /22配置身份验证
, GlobalProtect 以方便多因素身份验证通知
Cause
当从 IP IP FQDN 客户端无法访问俘虏门户重定向主机或解决相应的问题时,就可能发生这种情况 GlobalProtect 。 例如,捕获门户重定向主机 IP 配置为私有 IP 192.168.1.254,但 GlobalProtect 访问路线配置为 192.168.1.0/30,不包括 IP 192.168.1.254。 在这种情况下,客户端机器将尝试通过自己的链路连接到 198.51.100.254,而不是通过隧道。
Resolution
MFA GlobalProtect 使用适当的重定向主机 IP 地址或修改网关设置上的访问路线,确保页面身份验证通过隧道进行 GlobalProtect 。例如,将条目 192.168.1.254/32 添加到 拆分隧道设置的包含列表 以及内部资源子网中。