OTP 被提示两次GlobalProtect配置了两因素身份验证

OTP 被提示两次GlobalProtect配置了两因素身份验证

7050
Created On 10/28/21 15:33 PM - Last Modified 05/02/23 06:19 AM


Symptom


  • 双重身份验证配置为GlobalProtect(GP ).
  • 当客户端尝试连接到GP,OTP被提示两次。

Environment


  • 帕洛阿尔托网络 Firewall
  • 支持的PAN-OS
  • GlobalProtect (GP )
  • 为以下配置的多因素或双因素身份验证GP.

Cause


  • GlobalProtect App 会将门户凭据传递给网关以进行无缝身份验证。
  • 成功进行双因素身份验证后(OTP ) 与门户网站,GP将通过门户网站OTP到网关。
  • 自从OTP在网关身份验证期间更改,Radius 服务器 (RSA服务器)将发送“访问拒绝”消息。
  • 由于此 Radius 消息,网关身份验证失败,并提示用户使用网关重新进行身份验证。

Resolution


  1. 在门户中,启用“生成用于身份验证覆盖的 cookie ”。 不要启用“接受 cookie”。
  2. 使用此配置,将始终提示在连接到门户时进行身份验证。
  3. 在网关中,仅启用“接受 cookie”并将 cookie 生命周期设置为最短(一分钟)
  4. 提交配置。
在门户网站上GUI:网络 >GlobalProtect > Portal > Agent >(选择代理)> Authentication > 点击“Generate cookie for authentication override”
用户添加的图像

在网关上GUI:网络 >GlobalProtect > 网关 > 代理 >(选择代理)> 客户端设置 > 身份验证覆盖 > 接受用于身份验证覆盖的 cookie”
用户添加的图像

Additional Information


https://live.paloaltonetworks.com/t5/general-topics/globalprotect -requires-token-twice-possible-rsa-inconvenience/td-p/166905
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MACCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language