¿Por qué GlobalProtect el cliente se conecta a la puerta de enlace antes de que la autenticación de radio se devuelva como fallida en la autenticación del portal cuando MFA no se responde al mensaje?

¿Por qué GlobalProtect el cliente se conecta a la puerta de enlace antes de que la autenticación de radio se devuelva como fallida en la autenticación del portal cuando MFA no se responde al mensaje?

5390
Created On 02/10/22 02:08 AM - Last Modified 05/21/25 02:41 AM


Question


¿Por qué GlobalProtect el cliente se conecta a la puerta de enlace antes de que la autenticación de radio se devuelva como fallida en la autenticación del portal cuando MFA no se responde al mensaje?

Environment


GlobalProtect Portal y puerta de enlace está configurado Autenticación Anulación
  • Generar cookie para la anulación de autenticación
  • Aceptar cookie para anulación de autenticación
Radius Server está configurado como perfil de servidor de autenticación en Panorama/Firewall/Cloud Managed PrismaRadius
está vinculado con el usuario cliente (usuario final) responde al MFA
GlobalProtect nombre de usuario y las contraseñas iniciales de autenticación radius, pero no responde al MFA mensaje

Answer


Si GlobalProtect el usuario cliente no responde a MFA, el inicio de sesión del portal se agotará el tiempo de espera (es decir, no es un error de autenticación, es similar a que no se puede acceder al portal). GP a continuación, intentará cargar la configuración del portal almacenada en caché que contiene la cookie de anulación de autenticación de usuario. Si la cookie sigue siendo válida para la puerta de enlace, entonces es posible crear un túnel con esa cookie.

Additional Information


El usuario puede probar si el tiempo de espera de Radius configurado funciona correctamente o no eliminando los archivos .dat que contienen la configuración

de cookies y portalEstablan los archivos de configuración de cookies y portales de Windows están en la carpeta C:\Users\%Username%\AppData\Local\Palo Alto Networks\GlobalProtect (El archivo de configuración en caché del portal comienza con PanPortalCfg_ y el archivo de cookies comienza con PanPUAC_)

Para mac, estos estarán en /Users/$USER/Library/Application Support/PaloAltoNetworks/GlobalProtect/


https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNPbCAO https://live.paloaltonetworks.com/t5/globalprotect-discusiones/clearing-cookiesglobalprotect/td-p/354097
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NADCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language