OTP est invité deux fois à configurer avec l’authentification à GlobalProtect deux facteurs
7048
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM
Symptom
- L’authentification à deux facteurs est configurée pour GlobalProtect (GP).
- Lorsque le client tente de se connecter à GP, OTP est invité deux fois.
Environment
- Palo Alto Networks Firewall
- SupportéPAN-OS
- GlobalProtect (GP)
- Authentification multifacteur ou à deux facteurs configurée pour GP.
Cause
- GlobalProtect App transmettra les informations d’identification du portail à la passerelle pour une authentification transparente.
- Une fois l’authentification à deux facteurs réussie (OTP) avec Portal, GP transmet le portail OTP à la passerelle.
- Étant donné que le est modifié lors de l’authentification de la passerelle, le OTP serveur Radius (RSA serveur) enverra un message « Access-Reject ».
- En raison de ce message Radius, l’authentification de la passerelle échoue et l’utilisateur est invité à s’authentifier à nouveau auprès de la passerelle.
Resolution
- Dans le portail, activez « Générer un cookie pour le remplacement de l’authentification ». N’activez pas « accepter les cookies ».
- Avec cette configuration, sera toujours invité à s’authentifier lors de la connexion au portail.
- Dans la passerelle, activez uniquement « accepter les cookies » et définissez la durée de vie des cookies au minimum (une minute)
- Validez la configuration.
Sur Portail : Portail > GlobalProtect réseau > Portail > Agent > (sélectionnez l’agent) > Authentification > cliquez sur « Générer un cookie pour le remplacement de l’authentification » GUI
Sur la passerelle GUI: Passerelles > réseau > > GlobalProtect Agent > (sélectionnez l’agent) > Paramètres client > Remplacement de l’authentification > Accepter le cookie pour le remplacement de l’authentification »
Additional Information
https://live.paloaltonetworks.com/t5/general-topics/globalprotect-requires-token-twice-possible-rsa-inconvenience/td-p/166905