OTP wird zweimal GlobalProtect zur Konfiguration mit Zwei-Faktor-Authentifizierung aufgefordert
14456
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM
Symptom
- Die Zwei-Faktor-Authentifizierung ist für GlobalProtect (GP) konfiguriert.
- Wenn der Client versucht, eine Verbindung herzustellen GP, OTP wird er zweimal aufgefordert.
Environment
- Palo Alto Networks Firewall
- AbgestütztPAN-OS
- GlobalProtect (GP)
- Multi-Faktor- oder Zwei-Faktor-Authentifizierung, konfiguriert für GP.
Cause
- GlobalProtect App übergibt die Portal-Anmeldeinformationen zur nahtlosen Authentifizierung an das Gateway.
- Nach erfolgreicher Zwei-Faktor-Authentifizierung (OTP) mit Portal wird das Portal GP OTP an das Gateway übergeben.
- Da das während OTP der Gateway-Authentifizierung geändert wird, sendet der Radius-Server (RSA Server) eine "Access-Reject"-Nachricht.
- Aufgrund dieser Radius-Meldung schlägt die Gateway-Authentifizierung fehl, und der Benutzer wird aufgefordert, sich erneut beim Gateway zu authentifizieren.
Resolution
- Aktivieren Sie im Portal die Option "Cookie für die Überschreibung der Authentifizierung generieren". Aktivieren Sie "Cookies akzeptieren" nicht.
- Bei dieser Konfiguration werden Sie immer aufgefordert, sich zu authentifizieren, wenn Sie eine Verbindung mit dem Portal herstellen.
- Aktivieren Sie im Gateway nur "Cookie akzeptieren" und setzen Sie die Cookie-Lebensdauer auf das Minimum (eine Minute)
- Übernehmen Sie die Konfiguration.
Auf Portal: Netzwerk-> > Portal GUI> Agent > (wählen Sie den Agenten aus) > Authentifizierung > GlobalProtect klicken Sie auf "Cookie für Authentifizierungsüberschreibung generieren"
Auf dem Gateway GUI: Netzwerk-> > GlobalProtect -Gateways > Agent-> (wählen Sie den Agenten aus) > Client-Einstellungen > Authentifizierungsüberschreibung > Cookie für Authentifizierungsüberschreibung akzeptieren"
Additional Information
https://live.paloaltonetworks.com/t5/general-topics/globalprotect-benötigt-token-zweimal-möglich-rsa-inconvenience/td-p/166905