Comment forcer les informations d’identification de l’utilisateur avec un certificat client valide lorsque l’authentification du certificat client des informations d’identification OR de l’utilisateur est autorisée?

Comment forcer les informations d’identification de l’utilisateur avec un certificat client valide lorsque l’authentification du certificat client des informations d’identification OR de l’utilisateur est autorisée?

20190
Created On 04/21/21 23:49 PM - Last Modified 04/23/24 01:55 AM


Objective


Il peut y avoir des scénarios où vous souhaiteriez que certains groupes d’utilisateurs soient invités à entrer leurs informations d’identification GlobalProtect via un certificat client valide installé sur leurs ordinateurs.

Environment


  • PAN-OS 9.0 et versions ultérieures
  • Palo Alto Firewall avec GlobalProtect configuré
  • LDAP profil d’authentification et de certificat avec champ de nom d’utilisateur configuré sur le GlobalProtect portail et la passerelle
  • Autoriser l’authentification avec les informations d’identification OR de l’utilisateur Certificat client défini sur Oui

Procedure


  • GlobalProtect L’authentification du portail ou de la passerelle peut être séparée en fonction du client OS uniquement.

GlobalProtect_Authentication
 
  • Lorsque l’option Autoriser l’authentification avec les informations d’identification de l’utilisateur Certificat client est définie sur Oui comme indiqué ci-dessus, il est obligatoire de définir le champ Nom d’utilisateur OR dans le profil de certificat pour créer un mappage après une GP authentification réussie du certificat client.

Certficate_Profile
  • Avec l’option ci-dessus, s’authentifie d’abord à l’aide du certificat client et en cas d’échec, GlobalProtect il invite alors l’utilisateur à entrer ses informations d’identification.Afin de forcer l’invite d’informations d’identification de l’utilisateur pour certains utilisateurs, veuillez sélectionner un champ vide sous Champ Nom d’utilisateur. Même si le certificat client est signé par le certificat référencé dans le profil de certificat, l’authentification du certificat client échoue car le CA nom d’utilisateur ne peut pas être extrait. L’utilisateur serait alors invité à entrer ses informations d’identification.

Additional Information


La restriction de champ de nom d’utilisateur a été supprimée des versions 9.1.11 et 10.0.8 pour tenir compte de PAN-OS certains scénarios. Veuillez noter que l’authentification basée sur un certificat client pur ne réussira pas si le nom d’utilisateur ne peut pas être extrait du certificat client.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM0ICAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language