OTP を 2 回求められますGlobalProtect二要素認証で構成された

OTP を 2 回求められますGlobalProtect二要素認証で構成された

7073
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM


Symptom


  • 二要素認証が構成されていますGlobalProtect(GP )。
  • クライアントが接続しようとしたときGP、OTP 2 回プロンプトが表示されます。

Environment


  • パロアルトネットワークス Firewall
  • 対応PAN-OS
  • GlobalProtect (GP )
  • に設定された多要素認証または 2 要素認証GP.

Cause


  • GlobalProtect App シームレスな認証のためにポータル資格情報をゲートウェイに渡します。
  • 2 要素認証の成功後 (OTP ) ポータルで、GPポータルを通過しますOTPゲートウェイへ。
  • 以来、OTPゲートウェイ認証中に変更される場合、Radius サーバー (RSAサーバー) は「Access-Reject」メッセージを送信します。
  • この Radius メッセージが原因で、ゲートウェイ認証が失敗し、ユーザーはゲートウェイで再認証するように求められます。

Resolution


  1. ポータルで、「認証オーバーライド用の Cookie を生成する"。 「Cookie を受け入れる」を有効にしないでください。
  2. この構成では、ポータルに接続するときに常に認証を求められます。
  3. ゲートウェイで、「Cookie を受け入れる」のみを有効にし、Cookie の有効期間を最小 (1 分) に設定します。
  4. 構成をコミットします。
ポータル上GUI:ネットワーク >GlobalProtect > ポータル > エージェント > (エージェントを選択) > 認証 > [認証オーバーライド用の Cookie を生成] をクリックします。
ユーザーが追加した画像

ゲートウェイ上GUI:ネットワーク >GlobalProtect > Gateways > Agent > (エージェントを選択) > Client Settings > Authentication Override > Accept cookie for authentication override"
ユーザーが追加した画像

Additional Information


https://live.paloaltonetworks.com/t5/general-topics/globalprotect -requires-token-twice-possible-rsa-inconvenience/td-p/166905
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MACCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language