Wie erzwinge ich Benutzeranmeldeinformationen mit gültigem Clientzertifikat, wenn die Authentifizierung mit Benutzeranmeldeinformationen OR für Clientzertifikate zulässig ist?

Wie erzwinge ich Benutzeranmeldeinformationen mit gültigem Clientzertifikat, wenn die Authentifizierung mit Benutzeranmeldeinformationen OR für Clientzertifikate zulässig ist?

20190
Created On 04/21/21 23:49 PM - Last Modified 04/23/24 01:55 AM


Objective


Es kann Szenarien geben, in denen Sie möchten, dass bestimmte Gruppen von Benutzern zur Eingabe von GlobalProtect Benutzeranmeldeinformationen aufgefordert werden, obwohl ein gültiges Clientzertifikat auf ihren Computern installiert ist.

Environment


  • PAN-OS 9.0 und höher
  • Palo Alto Firewall mit GlobalProtect konfiguriert
  • LDAP Authentifizierung und Zertifikatprofil mit konfiguriertem Benutzernamenfeld sowohl im Portal als auch GlobalProtect im Gateway
  • Authentifizierung mit Benutzeranmeldeinformationen OR zulassen Clientzertifikat auf Ja festgelegt

Procedure


  • GlobalProtect Die Portal- oder Gateway-Authentifizierung kann nur auf der Grundlage des Clients OS getrennt werden.

GlobalProtect_Authentication
 
  • Wenn die Option Authentifizierung mit Benutzeranmeldeinformationen OR zulassen Clientzertifikat wie oben gezeigt auf Ja festgelegt ist, muss im Zertifikatprofil das Feld Benutzername festgelegt sein, um nach erfolgreicher Clientzertifikatauthentifizierung eine GP Zuordnung zu erstellen.

Certficate_Profile
  • Mit der obigen Option GlobalProtect würde sich zuerst mit dem Clientzertifikat authentifizieren und wenn es fehlschlägt, würde es den Benutzer zur Eingabe von Anmeldeinformationen auffordern.Um die Eingabeaufforderung der Benutzeranmeldeinformationen für bestimmte Benutzer zu erzwingen, wählen Sie bitte ein leeres Feld unter Benutzernamenfeld aus. Obwohl das Clientzertifikat mit dem Zertifikat signiert ist, auf das CA im Zertifikatprofil verwiesen wird, schlägt die Authentifizierung des Clientzertifikats fehl, da der Benutzername nicht extrahiert werden kann. Der Benutzer wird dann zur Eingabe von Benutzeranmeldeinformationen aufgefordert.

Additional Information


Die Einschränkung des Benutzernamenfelds wurde aus PAN-OS 9.1.11 und 10.0.8 entfernt, um bestimmte Szenarien zu unterstützen. Bitte beachten Sie, dass die reine Client-Zertifikat-basierte Authentifizierung nicht erfolgreich sein wird, wenn der Benutzername nicht aus dem Client-Zertifikat extrahiert werden kann.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM0ICAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language