Wie behebt man die GlobalProtect Voranmeldung aufgrund eines Betreffs des Maschinenzertifikats zeitweise?
12498
Created On 03/21/21 06:32 AM - Last Modified 05/16/23 21:01 PM
Objective
Symptom/Szenario:
- Global Protect-Client mit Pre-Logon Connect-Methode nur mit Maschinenzertifikat
- Das Zertifikatprofil für GP auf dem FW Benutzername-Feld hat als Antragsteller Alt mit Prinzipalname angegeben.
- Verwenden Sie die PKI Infrastruktur, um Computerzertifikate mit dem privaten Schlüssel in jedem PC (lokalen Computer) über die Gruppe policy bereitzustellen.
- Das CA Root-Zertifikat und das CA Intermediate-Zertifikat wurden bereits in die und FW PCs importiert.
- GP Portal und Authentifizierung, die nur mit Zertifikatprofil konfiguriert sind GW (kein anderes Authentifizierungsprofil) und keine Authentifizierungscookies außer Kraft setzen.
- Das Problem wird beobachtet, dass eine 90%ige GP Pre-Logon-Verbindung nicht erfolgreich war, die GP "getrennt" angezeigt wurde, bevor sich der Benutzer bei Windows anmeldet.
- Nur etwa 10% sieht es so aus, als ob die GP Verbindung erfolgreich war, da sie nicht "getrennt" anzeigte, aber GP nicht "verbunden" auf dem Windows-Anmeldebildschirm angezeigt wurde. Unmittelbar nachdem sich der Benutzer bei Windows angemeldet hat, GP ein Symbol, das rot als an der Taskleiste unten rechts getrennt angezeigt wird, und nach einigen Sekunden wurde es automatisch erfolgreich als GP Symbol mit Grün verbunden. Es sieht also wie verbunden aus, GP nachdem sich der Benutzer bei Windows angemeldet hat, anstatt vorher wie vorher zu melden.
Environment
- Global Protect
- Fenster
Procedure
Ursache
- Das computerzertifikat, das in den lokalen Computer (mit dem privaten Schlüssel) importiert wurde, hatte nicht das Betrefffeld für sich selbst (leer), sondern das Feld Alternativer Antragstellername mit Principal Name und DNS Name.
- Für die GP Voranmeldung muss jedes Computerzertifikat über das Betrefffeld verfügen, das den Endpunkt mit dem CN Namen (z. B. CN =laptop1.example.com) anstelle des Benutzers identifiziert. Daher ist das Betrefffeld CN (Gerätename) im Maschinenzertifikat für die Voranmeldung auf dem Zertifikat selbst erforderlich, auch kann es nicht keine oder leer sein, unabhängig davon, was im Feld Benutzername unter dem Zertifikatprofil auf der angegeben FW ist.
- Wenn Nur das Zertifikatprofil für GP die Authentifizierung und kein anderes Authentifizierungsprofil verwendet wird, muss das Feld Benutzername unter dem Zertifikatprofil nur angegeben werden, wenn eine GP ip-user-Zuordnung erforderlich ist. Andernfalls GP kann keine Zuordnung erstellt werden, da kein Benutzername verfügbar ist, der dem zugewiesenen zugeordnet werden IP kann.
entschluß
- Sie müssen eine Änderung vornehmen, PKI indem Sie das Betrefffeld mit dem CN Namen (als Gerätename) auf dem Maschinenzertifikat hinzufügen und das neue Maschinenzertifikat an die PC via-Gruppe Policy übertragen.
- Starten Sie dann die PC und GlobalProtect zeigt "verbunden" auf dem Windows-Anmeldebildschirm an, bevor sich der Benutzer bei Windows anmeldet. Die Voranmeldung funktioniert also GP wie erwartet.
Additional Information
Eine weitere Sache zu beachten, wenn sowohl die Verwendung von Authentifizierungsprofil (z. B. ) als auch LDAP zertifikatsprofil für GP die Authentifizierung und das Benutzernamefeld im Zertifikatprofil auf der festgelegt CN firewall ist, dann hat der vom Zertifikat gelernte Benutzername Vorrang vor dem Benutzernamen, der auf bereitgestellt LDAP wird.