Comment fixer GlobalProtect pré-logon par intermittence de travail en raison de la machine certificat sujet?
12502
Created On 03/21/21 06:32 AM - Last Modified 05/16/23 21:01 PM
Objective
Symptôme/scénario :
- Client Global Protect avec la méthode de connexion pré-logon utilisant le certificat de machine seulement
- Le profil de certificat pour GP sur le champ de nom FW d’utilisateur a spécifié comme objet Alt avec nom principal.
- Utilisez PKI l’infrastructure pour déployer des certificats de machine avec la clé privée dans PC chaque (ordinateur local) via le groupe policy .
- Le CA cert root et le CA cert intermédiaire étaient déjà importés dans FW les PC et les PC.
- GP Portail et GW authentification configurés uniquement avec le profil du certificat (aucun autre profil d’authentification) et aucun cookie d’authentification ne l’emporte.
- Le problème est observé environ 90% GP connexion pré-logon n’a pas été couronnée de succès, GP a été montrant « déconnecté » avant les journaux des utilisateurs dans windows.
- Seulement environ 10% il semble que la GP connexion a été un succès car il n’a pas montré « déconnecté », mais ne GP montrait pas « connecté » à l’écran logon Windows. Directement après que l’utilisateur s’est connecté à Windows, GP icône montrant rouge comme déconnecté à la barre des tâches en bas à droite, et après quelques secondes, il auto connecté avec succès GP comme icône montrant vert. Ainsi, il ressemble connecté GP après que l’utilisateur connecté à Windows, au lieu d’avant comme pré-logon devrait être.
Environment
- Global Protect
- Windows
Procedure
Cause
- Le certificat de machine importé dans l’ordinateur local (avec la clé privée) n’avait pas le champ de sujet sur lui-même (vide), au lieu de cela, il a le champ de nom alternatif de sujet avec le nom et le DNS nom principaux.
- Pour GP le pré-logon, chaque certificat de machine doit demander au champ objet d’identifier le point de terminaison en CN utilisant le nom (par CN exemple, =laptop1.example.com)au lieu de l’utilisateur. Ainsi, le champ objet (nom CN de l’appareil) dans la machine cert pour pré-logon est nécessaire sur le cert lui-même, aussi il ne peut pas être aucun ou vide, peu importe ce qui est spécifié dans le champ nom d’utilisateur sous le profil du certificat sur le FW .
- Si vous n’utilisez que le profil de certificat GP pour l’authentification et aucun autre profil d’authentification, le champ nom d’utilisateur sous le profil du certificat ne doit être spécifié que GP lorsque la cartographie ip-utilisateur est nécessaire. Dans le cas contraire, GP la cartographie ne peut pas être créée car il n’y a pas de nom d’utilisateur disponible pour s’associer à l’assigné IP .
Résolution
- Besoin de faire un changement en ajoutant PKI le champ objet avec le nom CN (comme nom de l’appareil) sur le certificat de machine et a poussé le nouveau certificat de machine à PC l’via Groupe Policy .
- Puis redémarrez PC les GlobalProtect affichages et les affichages « connectés » sur l’écran du logon Windows avant que l’utilisateur ne se connecte à Windows. Donc, GP pré-logon fonctionne comme prévu.
Additional Information
Une autre chose à noter si l’utilisation à la fois profil d’authentification (tels LDAP que ) et le profil du certificat pour GP l’authentification et ont champ nom d’utilisateur CN défini dans le profil du certificat sur le , puis le nom firewall d’utilisateur appris à partir du certificat a préséance sur le nom d’utilisateur fourni sur LDAP .