GlobalProtect Die Authentifizierung wird zweimal aufgerufen, wenn die Geräteprüfung im Portal aktiviert ist und das Cookie zum Überschreiben der Authentifizierung im Portal und Gateway aktiviert ist
18274
Created On 10/12/21 15:03 PM - Last Modified 05/06/25 19:41 PM
Symptom
Wenn die Maschinenzertifikatsprüfung (Geräteprüfungen) unter den Auswahlkriterien für die Portalkonfiguration aktiviert ist, werden Benutzer zweimal zur DUO Authentifizierung aufgefordert, obwohl das Cookie zum Generieren und Akzeptieren der Authentifizierung auf Portal und Gateway aktiviert ist
Environment
- Palo Alto Firewalls
- PAN-OS 9.0 und höher
- GlobalProtect Portal mit aktivierten Konfigurationsauswahlkriterien und Authentifizierungsüberschreibungscookie
- GlobalProtect app Windows- und macOS-Clients
Cause
- Dieses Problem wird verursacht, wenn sowohl die Auswahlkriterien für die Portalkonfiguration als auch das Cookie für die Authentifizierungsüberschreibung gleichzeitig aktiviert sind.
- Ab PAN-OS Version 9.0 wird das Cookie für die Authentifizierungsüberschreibung deaktiviert, wenn sowohl das Cookie für die Authentifizierung als auch die Geräteprüfungen/benutzerdefinierten Prüfungen unter Auswahlkriterien für die Portalkonfiguration konfiguriert sind.
- Dies ist der Grund dafür, dass die zweite DUO Authentifizierung aufgerufen wird, wenn eine Verbindung mit dem Gateway hergestellt wird.
Resolution
Die Lösung besteht darin, die Auswahlkriterien für die firewall Portalkonfiguration im Web GUIzu deaktivieren: Netzwerk- > > Portale > (Portalkonfiguration) Agent > (Agentenkonfiguration) > Konfigurationsauswahlkriterien > GlobalProtect Geräteprüfungen / benutzerdefinierte Prüfungen
Additional Information
Auswahlkriterien für die Portalkonfiguration und Authentifizierungsüberschreibungscookie können nicht gleichzeitig verwendet werden