¿Cómo solucionar GlobalProtect el trabajo intermitente previo al inicio de sesión debido al asunto del certificado de máquina?
12498
Created On 03/21/21 06:32 AM - Last Modified 05/16/23 21:01 PM
Objective
Síntoma/Escenario:
- Cliente Global Protect con método de conexión previo al inicio de sesión solo con certificado de máquina
- El perfil de certificado para GP en el campo tiene nombre de usuario especificado como sujeto alt con nombre FW principal.
- Utilice la PKI infraestructura para implementar certificados de equipo con la clave privada en cada uno PC (equipo local) a través de policy grupo.
- El CA certificado raíz y el certificado intermedio CA ya se importaron a los FW PC y a los PC.
- GP Portal y GW autenticación configurados solo con perfil de certificado (sin otro perfil de autenticación) y sin invalidación de cookies de autenticación.
- El problema se observa alrededor del 90% GP la conexión previa al inicio de sesión no se realizó correctamente, GP se mostraba "desconectada" antes de que el usuario iniciara sesión en Windows.
- Sólo alrededor del 10% parece que GP la conexión se realizó correctamente, ya que no mostraba "desconectada", pero no mostraba GP "conectada" en la pantalla de inicio de sesión de Windows. Inmediatamente después de que el usuario inició sesión en Windows, GP icono que muestra el rojo como desconectado en la parte inferior derecha de la barra de tareas, y después de unos segundos, se conectó automáticamente correctamente como icono que GP muestra verde. Así que parece conectado después de que GP el usuario inició sesión en Windows, en lugar de antes como debe ser antes del inicio de sesión.
Environment
- Global Protect
- Windows
Procedure
Causa
- El certificado de máquina importado en el equipo local (con la clave privada) no tenía el campo de asunto en sí mismo (vacío), en su lugar, tiene el campo Nombre alternativo de asunto con Nombre principal y DNS Nombre.
- Para GP el inicio de sesión previo, cada certificado de máquina debe hacer que el campo de asunto identifique el punto de conexión con el nombre CN (por ejemplo, CN =laptop1.example.com)en lugar del usuario. Por lo tanto, el campo de asunto CN (nombre del dispositivo) en el certificado de máquina para el inicio de sesión previo es necesario en el propio certificado, también no puede ser Ninguno o vacío, independientemente de lo especificado en el campo Nombre de usuario en el perfil de certificado en el FW .
- Si utiliza solamente el perfil de certificado para GP la autenticación y ningún otro perfil de autenticación, después el campo de nombre de usuario bajo el perfil del certificado debe especificarse solamente cuando se necesita la asignación GP ip-user. De lo contrario, GP la asignación no se puede crear, ya que no hay ningún nombre de usuario disponible para asociar con el asignado IP .
Resolución
- Debe realizar un cambio PKI agregando el campo de asunto con CN nombre (como nombre del dispositivo) en el certificado de máquina y insertó el nuevo certificado de máquina en el PC grupo Policy via.
- A continuación, reinicie PC el y los programas GlobalProtect "conectados" en la pantalla de inicio de sesión de Windows antes de que el usuario inicie sesión en windows. Así que GP el inicio de sesión previo está funcionando como se esperaba.
Additional Information
Una cosa más a tener en cuenta si el uso de perfil de autenticación LDAP (como) y perfil de certificado para la autenticación y tienen campo de nombre de usuario establecido GP en el perfil de certificado en el , después el nombre de usuario CN aprendido del certificado tiene prioridad sobre el nombre de usuario proporcionado en firewall LDAP .