用户凭据时如何使用有效的客户端证书强制用户凭据OR允许客户端证书身份验证?
20204
Created On 04/21/21 23:49 PM - Last Modified 04/23/24 01:55 AM
Objective
在某些情况下,您可能希望某些组GlobalProtect尽管在他们的计算机上安装了有效的客户端证书,但仍会提示用户输入用户凭据。
Environment
- PAN-OS 9.0及以上
- 帕洛阿尔托Firewall和GlobalProtect已配置
- LDAP 身份验证和证书配置文件用户名字段两者都配置GlobalProtect门户和网关
- 允许使用用户凭据进行身份验证OR客户端证书设置是的
Procedure
- GlobalProtect 门户或网关身份验证可以根据客户端进行隔离OS仅有的。
- 什么时候允许使用用户凭据进行身份验证OR客户端证书选项设置为是的如上所示,必须有用户名字段在证书配置文件中设置以创建GP客户端证书认证成功后的映射。
- 通过以上选项,GlobalProtect将首先使用客户端证书进行身份验证,如果失败,则会提示用户输入凭据。为了强制某些用户的用户凭据提示,请选择一个空的字段用户名字段。 即使客户端证书由CA证书配置文件中引用的证书,客户端证书身份验证将失败,因为无法提取用户名。 然后将提示用户输入用户凭据。
Additional Information
这用户名字段限制已从PAN-OS9.1.11 和 10.0.8 以适应某些场景。 请注意,如果无法从客户端证书中提取用户名,则纯基于客户端证书的身份验证将不会成功。