OTP se le pide dos veces que se GlobalProtect configure con autenticación de dos factores
7046
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM
Symptom
- La autenticación de dos factores está configurada para GlobalProtect (GP).
- Cuando el cliente intenta conectarse a GP, OTP se le pide dos veces.
Environment
- Palo Alto Networks Firewall
- SoportadoPAN-OS
- GlobalProtect (GP)
- Autenticación multifactor o de dos factores configurada para GP.
Cause
- GlobalProtect App pasará las credenciales del portal a la puerta de enlace para una autenticación sin problemas.
- Después de una autenticaciónOTP de dos factores () exitosa con Portal, GP pasará el portal OTP a la puerta de enlace.
- Dado que el se cambia durante la autenticación de la puerta de enlace, el OTP servidor Radius (RSA servidor) enviará un mensaje de "Acceso-Rechazar".
- Debido a este mensaje Radius, se produce un error en la autenticación de la puerta de enlace y se solicita al usuario que vuelva a autenticarse con la puerta de enlace.
Resolution
- En el portal, habilite "Generar una cookie para la anulación de autenticación". No habilite "aceptar cookies".
- Con esta configuración, siempre se le pedirá que se autentique al conectarse al portal.
- En la puerta de enlace, habilite solo "aceptar cookie" y establezca la duración de la cookie en el mínimo (un minuto)
- Confirme la configuración.
En el portal GUI: > de red > Portal > Agent > (seleccione el agente) > Autenticación > GlobalProtect haga clic en "Generar cookie para anulación de autenticación"
En la puerta de enlace: Puertas de enlace de > de > GlobalProtect de red > > del agente (seleccione el agente) > Configuración del cliente > Anulación de autenticación > Aceptar cookie para la anulación de GUIautenticación"
Additional Information
https://live.paloaltonetworks.com/t5/general-topics/globalprotect-requires-token-twice-possible-rsa-inconvenience/td-p/166905