La política de autenticación con MFA no funciona para RDP a través de una conexión de protección global
5572
Created On 10/05/22 05:00 AM - Last Modified 01/28/25 21:44 PM
Symptom
- RDP falla con el error "Se ha producido un error interno".
- PAN_GPS logs
CPanMSService::MFAuthHandleMsg: received optType=3, optLength=62, optVal=0x68 CPanMSService::MFAuthHandleMsg: received url=http://10.16.0.1:6080/php/browser_challenge.php?vsys=1&rule=0 CPanMSService::MFAuthHandleMsg: host name =10.16.0.1:6080 CPanMSService::IsHostInTrustedList() host = 10.16.0.1:6080 is not in trusted host list! CPanMSService::MFAuthHandleMsg: The host (10.16.0.1:6080) is not in the trusted host list. - En el cortafuegos, podríamos ver el motivo de finalización de la sesión como "auth-policy-deny" para la aplicación "cotp".
Environment
- Protección global
- PAN-OS
Cause
- La autenticación falló porque el host de redireccionamiento no estaba configurado en la lista de hosts MFA confiables
Resolution
- Vaya a Red > GlobalProtect > Portales > seleccione el portal configurado > Agente > seleccione la aplicación > y cambie los siguientes parámetros de configuración de la aplicación
- En el campo Puertas de enlace MFA de confianza, agregue la Dirección IP del host redirigido y el puerto que se encontraron en los registros de PANGPS
Additional Information
- Consulte los registros PAN-GPS para conocer la Dirección IP exacta del host de redireccionamiento
- Nota: Verifique si el cortafuegos de Windows Defender está bloqueando el mensaje de MFA deshabilitando el cortafuegos de Windows Defender.
- Configurar GlobalProtect para facilitar las notificaciones de autenticación multifactor https://docs.paloaltonetworks.com/globalprotect/9-1/globalprotect-admin/authentication/configure-globalprotect-to-facilitate-multi-factor-authentication-notifications
- GlobalProtect: Política de autenticación con MFA https://live.paloaltonetworks.com/t5/globalprotect-articles/globalprotect-authentication-policy-with-mfa/ta-p/322236