Warum GlobalProtect wird der Client mit dem Gateway verbunden, bevor die Radiusauthentifizierung in der Portalauthentifizierung als fehlgeschlagen zurückgegeben wird, wenn MFA die Eingabeaufforderung nicht beantwortet wird?
5382
Created On 02/10/22 02:08 AM - Last Modified 05/21/25 02:41 AM
Question
Warum GlobalProtect wird der Client mit dem Gateway verbunden, bevor die Radiusauthentifizierung in der Portalauthentifizierung als fehlgeschlagen zurückgegeben wird, wenn MFA die Eingabeaufforderung nicht beantwortet wird?
Environment
GlobalProtect Portal und Gateway ist konfiguriert Authentifizierungsüberschreibung
- Cookie für Authentifizierungsüberschreibung generieren
- Cookie für Authentifizierungsüberschreibung akzeptieren
ist mit dem Client-Benutzer (Endbenutzer) verbunden, antwortet auf den MFA
GlobalProtect anfänglichen Radius-Authentifizierungsbenutzernamen und -kennwörter, antwortet jedoch nicht auf die MFA Eingabeaufforderung
Answer
Wenn GlobalProtect der Clientbenutzer nicht auf antwortet, wird bei MFAder Portalanmeldung eine Zeitüberschreitung erreicht (d. h. es handelt sich nicht um einen Authentifizierungsfehler, es ist ähnlich wie beim Portal ist nicht erreichbar). GP versucht dann, die zwischengespeicherte Portalkonfiguration zu laden, die das Cookie zur Außerkraftsetzung der Benutzerauthentifizierung enthält. Wenn das Cookie für das Gateway noch gültig ist, ist es möglich, mit diesem Cookie einen Tunnel zu erstellen.
Additional Information
Der Benutzer kann testen, ob das konfigurierte Radius-Timeout ordnungsgemäß funktioniert oder nicht, indem er die .dat Dateien löscht, die Cookie und Portalkonfiguration
enthaltenFür Windows befinden sich Cookie- und Portalkonfigurationsdateien im Ordner C:\Users\%Username%\AppData\Local\Palo Alto Networks\GlobalProtect (Die zwischengespeicherte Konfigurationsdatei des Portals beginnt mit PanPortalCfg_ und die Cookie-Datei beginnt mit PanPUAC_)
Für Mac befinden sich diese auf /Users/$USER/Library/Application Support/PaloAltoNetworks/GlobalProtect/
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNPbCAO https://live.paloaltonetworks.com/t5/globalprotect Diskussionen/Löschen-globalprotect-Cookies/td-p/354097