即使启用了会话 Cookie 超时,也是必需的强制门户身份验证
10170
Created On 07/01/20 09:55 AM - Last Modified 06/07/25 02:40 AM
Symptom
- 强制门户重定向模式提供会话 Cookie 的使用,使用户能够继续浏览经过身份验证的网站,而无需在每次超时过期时通过用户身份验证重新映射。
- 但是,根据配置,强制门户再次需要身份验证,即使会话 Cookie 已启用且未进行时间。
详情:
- 配置捕获门户。
- 在 [设备] 下启用 "会话 Cookie> [用户标识]
- 在 [对象] [身份验证] 下创建自定义的 Web 窗体>身份验证实施,并选择 Web 窗体作为"身份验证方法"
- 将上述身份验证强制应用于 [政策] > [认证] > [ Policy 名称>] > [行动] > [身份验证执行] 将上述身份验证强制应用于 [政策] > [认证] > [ Policy 名称>] > [行动] > [身份验证执行]
Environment
- 帕洛阿尔托 Firewall .
- PAN-OS 8.0,8.1, 9.0
- 已配置会话 Cookie 的捕获门户。
Cause
在身份验证实施中,必须仅使用预定义的"默认 Web 窗体"会话 Cookie。
这是设计使的。
Resolution
- 在[政策]下的"身份验证执行"中选择默认网络形式(预先定义),>[认证 Policy ]>[名称>]>[行动]>[认证执行]
- 在默认 Web 窗体中,您无法选择"身份验证配置文件"。 改为在 [设备] 下选择适当的"身份验证>[用户标识]。