基本的-GlobalProtect -configuration-with-Pre-Logon-then-On-Demand
30791
Created On 05/03/21 19:20 PM - Last Modified 07/19/23 17:34 PM
Objective
本文档将说明GlobalProtect预登录然后按需连接方法和所需的基本配置
Environment
- GlobalProtect基础设施
- 支持的端点OS
Procedure
Pre-logon then On-Demand 是一种新的混合连接方法,它结合了 Pre-logon 功能以在用户登录端点之前对用户进行身份验证,以及允许用户手动与外部网关建立连接的按需功能后续连接。
当用户忘记密码或与服务台合作更改密码并需要通过预登录进行网络访问时,这很有用VPN隧道登录到他们的系统。
请按照以下步骤使用预登录然后按需连接方法配置门户的代理配置:
注意:这是通过导航找到的网络 >GlobalProtect > 门户网站 > (选择适当的门户)> 代理>(选择/创建适当的代理配置)
- 验证
- 为这个客户端配置命名
- 客户端证书 - 将其保留为无,仅当我们想要将任何客户端证书推送到客户端以进行身份验证时才需要这样做。
- 保存用户凭证 - 是(默认)
- (可选)身份验证覆盖:选中“为身份验证覆盖生成 cookie”和“接受用于身份验证覆盖的 cookie”复选框。 可以使用从“用于加密/解密 Cookie 的证书”下拉列表中选择的任何证书对该 Cookie 进行加密/解密。
笔记:如果在门户下的此处选择证书,则需要在网关的配置下选择相同的证书以加密/解密 cookie。
- 配置选择标准
- 选择 '登录前'从下拉菜单
- 外部的
- 在“外部网关”下,点击添加.给它起任何名字。
- 地址 - 输入IP地址或FQDN这是在证书通用名称中引用的(CN ) 或主题别名 (SAN ) 。 在此示例中,我们输入“gp.portal-gw01.local”
- App
- 在下面“连接方法”下拉选择“预登录然后按需”
- “使用单点登录”配置在这里是可选的。
- 配置“公关电子登录隧道重命名超时(秒)(仅限 Windows)”值为“0”。 A 值 0 表示当用户登录到端点时,GlobalProtect立即终止登录前隧道而不是重命名它。 在这种情况下,GlobalProtect为用户启动新隧道,而不是允许用户通过登录前隧道进行连接。 通常,当我们将连接方法设置为 Pre-logon 然后 On-demand 时,此设置最有用,这会强制用户在初始登录后手动启动连接。
注意:仅当您需要添加与之前创建的配置不同的新客户端配置时,才需要执行以下步骤。
- 验证
- 为这个客户端配置命名
- 客户端证书-将其保留为无,仅当我们想要将任何客户端证书推送到客户端以进行身份验证时才需要这样做。
- 保存用户凭证 - 是(默认)
- (可选)身份验证覆盖:选中“为身份验证覆盖生成 cookie”和“接受用于身份验证覆盖的 cookie”复选框。 可以使用从“用于加密/解密 Cookie 的证书”下拉列表中选择的任何证书对该 Cookie 进行加密/解密。
注意:如果此处在门户下选择证书,则需要在网关的配置下选择相同的证书来加密/解密 cookie。
- 配置选择标准
- 选择 '任何'从下拉列表或添加特定用户/用户组。
- 外部的
- 在“外部网关”下,点击添加.给它起任何名字。
- 地址 - 输入IP地址或FQDN这是在证书通用名称中引用的(CN ) 或主题别名 (SAN ) 。 在此示例中,我们输入“gp.portal-gw01.local”
- App
- 在下面“连接方法”下拉选择“预登录然后按需”
- 作为最佳实践,启用SSO在第二个代理配置中,以便在用户登录端点时立即向网关报告正确的用户名。 如果SSO未启用,将使用代理设置面板中保存的用户名。
- 选择OK并提交您的更改
Additional Information
- 对于 Pre-logon 然后 On-Demand connect 方法管理指南,请参考在这里记录
- 有关预登录所需的完整配置的文档,请参阅以下文档: