OTP を 2 回求められますGlobalProtect二要素認証で構成された
14450
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM
Symptom
- 二要素認証が構成されていますGlobalProtect(GP )。
- クライアントが接続しようとしたときGP、OTP 2 回プロンプトが表示されます。
Environment
- パロアルトネットワークス Firewall
- 対応PAN-OS
- GlobalProtect (GP )
- に設定された多要素認証または 2 要素認証GP.
Cause
- GlobalProtect App シームレスな認証のためにポータル資格情報をゲートウェイに渡します。
- 2 要素認証の成功後 (OTP ) ポータルで、GPポータルを通過しますOTPゲートウェイへ。
- 以来、OTPゲートウェイ認証中に変更される場合、Radius サーバー (RSAサーバー) は「Access-Reject」メッセージを送信します。
- この Radius メッセージが原因で、ゲートウェイ認証が失敗し、ユーザーはゲートウェイで再認証するように求められます。
Resolution
- ポータルで、「認証オーバーライド用の Cookie を生成する"。 「Cookie を受け入れる」を有効にしないでください。
- この構成では、ポータルに接続するときに常に認証を求められます。
- ゲートウェイで、「Cookie を受け入れる」のみを有効にし、Cookie の有効期間を最小 (1 分) に設定します。
- 構成をコミットします。
ポータル上GUI:ネットワーク >GlobalProtect > ポータル > エージェント > (エージェントを選択) > 認証 > [認証オーバーライド用の Cookie を生成] をクリックします。
ゲートウェイ上GUI:ネットワーク >GlobalProtect > Gateways > Agent > (エージェントを選択) > Client Settings > Authentication Override > Accept cookie for authentication override"
Additional Information
https://live.paloaltonetworks.com/t5/general-topics/globalprotect -requires-token-twice-possible-rsa-inconvenience/td-p/166905