Pourquoi GlobalProtect le client se connecte-t-il à la passerelle avant que l’authentification radius ne soit renvoyée comme ayant échoué dans l’authentification du portail lorsque MFA l’invite n’est pas répondue ?
5390
Created On 02/10/22 02:08 AM - Last Modified 05/21/25 02:41 AM
Question
Pourquoi GlobalProtect le client se connecte-t-il à la passerelle avant que l’authentification radius ne soit renvoyée comme ayant échoué dans l’authentification du portail lorsque MFA l’invite n’est pas répondue ?
Environment
GlobalProtect Le portail et la passerelle sont configurés Remplacement de l’authentification
- Générer un cookie pour le remplacement de l’authentification
- Accepter le cookie pour le remplacement de l’authentification
est lié à l’utilisateur MFA
GlobalProtect client (utilisateur final) répond au nom d’utilisateur et aux mots de passe initiaux de l’authentification radius mais ne répond pas à l’invite MFA
Answer
Si GlobalProtect l'utilisateur du client ne répond pas à , la connexion au MFAportail expirera (c'est-à-dire qu'il ne s'agit pas d'un échec d'authentification, il est similaire au portail n'est pas accessible). GP essaiera ensuite de charger la configuration du portail mis en cache qui contient le cookie de remplacement de l’authentification de l’utilisateur. Si le cookie est toujours valide pour la passerelle, il est possible de créer un tunnel avec ce cookie.
Additional Information
L’utilisateur peut tester si le délai d’expiration Radius configuré fonctionne correctement ou non en supprimant les fichiers .dat contenant le cookie et la configuration du
portailPour les fichiers de configuration des cookies Windows et du portail se trouvent dans le dossier C:\Users\%Username%\AppData\Local\Palo Alto Networks\GlobalProtect (Le fichier de configuration mis en cache du portail commence par PanPortalCfg_ et le fichier cookie commence par PanPUAC_)
Pour Mac, ceux-ci seront sur /Users/$USER/Library/Application Support/PaloAltoNetworks/GlobalProtect/
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNPbCAO https://live.paloaltonetworks.com/t5/globalprotect-discussions/effacement-globalprotect-cookies/td-p/354097