GlobalProtectコンピュータ証明書のサブジェクトが原因で断続的にログオン前の作業を修正する方法は?

12504

Created On 03/21/21 06:32 AM - Last Modified 05/16/23 21:01 PM

Objective

症状/シナリオ:

ログオン前接続方式でコンピュータ証明書のみを使用してグローバル保護クライアント
の証明書プロファイル GP の FW 「ユーザー名フィールド」が「プリンシパル名のサブジェクト Alt」として指定されています。
PKIインフラストラクチャを使用して、秘密キーを持つマシン証明書を各 PC (ローカルコンピュータ) に group を介して展開 policy します。
ルート CA 証明書と中間 CA 証明書は、既にと PC にインポートされています FW 。
GP GW証明書プロファイルのみ (他の認証プロファイルなし) で構成されたポータルと認証で、認証クッキーは上書きされません。
この問題は、約90% GP のログオン前接続が成功しなかった、 GP ユーザーがWindowsにログインする前に「切断」と表示されていたと観察されています。
GP「切断」と表示されなかったが GP 、Windowsのログオン画面で「接続」が表示されなかったことを示すため、接続が成功したように見えるのはわずか10%です。ユーザーが Windows にログインした直後、 GP タスクバーの右下に赤いアイコンが切断され、数秒後に自動的に緑色のアイコンで接続されました GP 。したがって、 GP ユーザーが Windows にログインした後、ログオン前ではなく接続されているように見えます。

原因

ローカルコンピュータにインポートされたマシン証明書 (秘密キーを使用) は、サブジェクトフィールド自体 (空) を持っていなかったため、サブジェクトの別名フィールドにプリンシパル名と名前が付 DNS いています。
GPログオン前の場合、各コンピュータ証明書では、 CN CN ユーザーではなく名前 (=laptop1.example.com)を使用してエンドポイントを識別するサブジェクトフィールドが必要です。したがって、ログオン前のマシン証明書のサブジェクトフィールド ( CN デバイス名) は、証明書自体に必要です FW 。
認証に証明書プロファイルのみを使用 GP し、他の認証プロファイルを使用しない場合、証明書プロファイルの下の username フィールド GP は、ip-user マッピングが必要な場合にのみ指定する必要があります。それ以外の場合 GP は、割り当てられたに関連付け可能なユーザ名がないため、マッピングを作成できません IP 。

解像度

マシン証明書に名前 ( PKI デバイス名) のサブジェクトフィールドを追加して変更 CN を加え、新しいマシン証明書を Group 経由でプッシュする必要 PC Policy があります。
その後 PC GlobalProtect 、Windows ログオン画面で「接続」の番組を再起動してから、ユーザーが Windows にログインします。したがって、 GP ログオン前は期待どおりに動作しています。

認証に認証プロファイル ( LDAP など) と証明書プロファイルの両方を使用し、証明書 GP プロファイルで username フィールドをに設定している場合 CN 、 firewall 証明書から学習したユーザー名が、で提供されるユーザー名よりも優先される場合に注意 LDAP してください。