ユーザー認証時に有効なクライアント証明書を使用してユーザー認証を強制する方法ORクライアント証明書認証は許可されていますか?
20198
Created On 04/21/21 23:49 PM - Last Modified 04/23/24 01:55 AM
Objective
特定のグループが必要なシナリオがあるかもしれませんGlobalProtect有効なクライアント証明書がマシンにインストールされていても、ユーザー資格情報の入力を求めるプロンプトがユーザーに表示されます。
Environment
- PAN-OS 9.0以上
- パロアルトFirewallとGlobalProtect設定済み
- LDAP 認証と証明書プロファイルユーザー名フィールド両方で設定GlobalProtectポータルとゲートウェイ
- ユーザー資格情報による認証を許可するORクライアント証明書に設定はい
Procedure
- GlobalProtect ポータルまたはゲートウェイ認証は、クライアントに基づいて分離できますOSそれだけ。
- いつユーザー資格情報による認証を許可するORクライアント証明書に設定されたオプションはい上記のように、必須ですユーザー名フィールド証明書プロファイルに設定して、GPクライアント証明書の認証が成功した後のマッピング。
- 上記のオプションを使用すると、GlobalProtect最初にクライアント証明書を使用して認証し、失敗した場合は、ユーザーに資格情報の入力を求めます。特定のユーザーに対してユーザー資格情報のプロンプトを強制するには、下の空のフィールドを選択してください。ユーザー名フィールド。 クライアント証明書がCA証明書が証明書プロファイルで参照されている場合、ユーザー名を抽出できないため、クライアント証明書の認証は失敗します。 ユーザーは、ユーザーの資格情報を求めるプロンプトが表示されます。
Additional Information
のユーザー名フィールドから制限が解除されましたPAN-OS特定のシナリオに対応するための 9.1.11 および 10.0.8。 クライアント証明書からユーザー名を抽出できない場合、純粋なクライアント証明書ベースの認証は成功しないことに注意してください。