Message d’erreur : Échec de la connexion. Impossible de se connecter à la GlobalProtect passerelle. Veuillez contacter votre IT administrateur

Message d’erreur : Échec de la connexion. Impossible de se connecter à la GlobalProtect passerelle. Veuillez contacter votre IT administrateur

37684
Created On 12/10/20 05:51 AM - Last Modified 08/13/21 21:44 PM


Symptom


Symptôme/scénario :
  • Global Protect Portal/Gateway Authentication Profile utilise RADIUS .
  • RADIUS Le serveur utilise MFA Duo push.
  • RADIUS Le délai d’expiration du serveur est défini sur 60 secondes avec 1 nombre de nouvelles tentatives.
  • GP les utilisateurs ont essayé de se connecter à GP (à la demande), ils ont reçu Duo Push immédiatement, mais ils n’approuveront pas le Push Duo rapidement pour terminer le processus d’authentification.
  • Le délai d’expiration de l’authentification se produit à 25 secondes et GP est déconnecté en raison du message d’erreur « Échec de la connexion. Impossible de se connecter à la GlobalProtect passerelle. Veuillez contacter votre IT administrateur ».
  • Le problème est que le GP client ne se suspend pas en attendant ce délai d’attente Radius.
  • Dans le GP scénario d’authentification où l’utilisateur n’approuvera pas l’envoi du Duo à temps (dans les 25 secondes), comment faire GP expirer se produit après le délai d’attente du serveur Radius configuré.

Environment


  • Global Protect
  • RADIUS Serveurs
  • Authentification multifacteur à l’aide de DUO

Cause


  • Le délai d’expiration GloablProtect par défaut est de 30 secondes, ce qui rend le délai d’expiration d’authentification par défaut à 25 secondes.
  • Le délai d’expiration de l’authentification est calculé comme suit : (délai d’expiration GloablProtect - 5).
  • Si le délai d’expiration de la protection globale est inférieur au RADIUS délai d’expiration/nouvelles tentatives du profil serveur, la valeur inférieure sera utilisée pour le délai d’expiration de l’authentification.
  • La valeur du délai d’expiration global-protect est le délai d’attente entre le client global protect et le firewall portail/passerelle global protect de .

    NOTE: le GlobalProtect délai d’attente doit être supérieur à la durée totale pendant laquelle un profil de serveur autorise les tentatives de connexion. Le temps total dans un profil de serveur est la valeur de délai multipliée par le nombre de tentatives et le nombre de serveurs.
     

Resolution


  1. Augmentez la valeur global-protect-timeout pour qu’elle soit supérieure au RADIUS délai d’expiration d’authentification souhaité. Remarque: Ceci peut être fait du FW CLI seul, aucun WebUI :
>configure
# set deviceconfig setting global-protect timeout 90
#commit

# show deviceconfig setting global-protect
global-protect {
  timeout 90;
}
# exit

 
       2. Augmentez le " TCP délai d’attente reçu " à 90 secondes pour correspondre à la valeur du GP délai d’attente (GUI: Network > > GlobalProtect Portals > (nom) > Agent > (nom de l’agent) > App )
Paramètre du App TCP portail

3. Maintenant le GlobalProtect délai d’attente d’authentification peut atteindre 55-60 secondes (comme le délai d’expiration configuré du serveur Radius) avant que les utilisateurs approuvent le push duo.

NOTE: Si GlobalProtect le délai d’attente est modifié sans changer TCP le « délai d’attente reçu », il GP App est déconnecté après environ 30 secondes en raison de la TCP valeur « délai d’attente reçu » qui est par défaut de 30 secondes.

 

Additional Information


Le délai d’attente par défaut GlobalProtect ne peut pas être vu utilisant la commande ci-dessous à moins qu’il soit modifié ou remis à l’état initial à la valeur par défaut de nouveau :
> configure
# show deviceconfig setting global-protect
# exit

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBufCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language