为什么 GlobalProtect 在未响应提示时,客户端在 radius 身份验证返回为门户身份验证失败之前 MFA 连接到网关?
5384
Created On 02/10/22 02:08 AM - Last Modified 05/21/25 02:41 AM
Question
为什么 GlobalProtect 在未响应提示时,客户端在 radius 身份验证返回为门户身份验证失败之前 MFA 连接到网关?
Environment
GlobalProtect 门户和网关配置为身份验证覆盖
- 生成用于身份验证覆盖的 Cookie
- 接受用于身份验证覆盖的 Cookie
中Panorama配置为身份验证服务器配置文件,与MFA
GlobalProtect客户端用户(最终用户)响应初始 radius 身份验证用户名和密码但不响应MFA提示
Answer
如果 GlobalProtect 客户端用户没有响应 MFA,门户登录将超时(即不是身份验证失败,类似于门户无法访问)。 GP 然后,将尝试加载包含用户身份验证覆盖 cookie 的缓存门户配置。 如果 Cookie 对网关仍然有效,则可以使用该 Cookie 创建隧道。
Additional Information
用户可以通过删除包含 Cookie 和门户配置
的.dat文件来测试配置的 Radius 超时是否正常工作对于 Windows Cookie 和门户配置文件位于文件夹C上:\Users\%Username%\AppData\Local\Palo Alto Networks\GlobalProtect(门户缓存配置文件以 PanPortalCfg_ 开头,cookie 文件以 PanPUAC_ 开头)
对于 mac,这些文件将位于 /Users/$USER/Library/Application Support/PaloAltoNetworks/GlobalProtect/
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNPbCAO https://live.paloaltonetworks.com/t5/globalprotect 讨论/清除globalprotect饼干/td-p/354097