La politique, règle, mesures d'authentification avec MFA ne fonctionne pas pour RDP sur la connexion de protection globale
5578
Created On 10/05/22 05:00 AM - Last Modified 01/28/25 21:44 PM
Symptom
- RDP échoue avec l'erreur « Une erreur interne s'est produite ».
- PAN_GPS logs
CPanMSService::MFAuthHandleMsg: received optType=3, optLength=62, optVal=0x68 CPanMSService::MFAuthHandleMsg: received url=http://10.16.0.1:6080/php/browser_challenge.php?vsys=1&rule=0 CPanMSService::MFAuthHandleMsg: host name =10.16.0.1:6080 CPanMSService::IsHostInTrustedList() host = 10.16.0.1:6080 is not in trusted host list! CPanMSService::MFAuthHandleMsg: The host (10.16.0.1:6080) is not in the trusted host list. - Dans le pare-feu, nous pourrions voir la raison de fin de session comme « auth-policy-deny » pour l' application « cotp »
Environment
- Protection globale
- PAN-OS
Cause
- L'authentification a échoué car l'hôte de redirection n'a pas été configuré dans la liste des hôtes MFA approuvés
Resolution
- Accédez à Réseau > GlobalProtect > Portails > sélectionnez le portail configuré > Agent > sélectionnez l'application > et modifiez les paramètres de configuration d'application suivants
- Dans le champ Passerelles MFA approuvées, ajoutez l' adresse IP et le port de l'hôte redirigé qui ont été trouvés dans les journaux PANGPS
Additional Information
- Consultez les journaux PAN-GPS pour connaître l' adresse IP exacte de l'hôte de redirection
- Remarque : vérifiez si le pare-feu Windows Defender bloque l’invite MFA en désactivant le pare-feu Windows Defender.
- Configurer GlobalProtect pour faciliter les notifications d'authentification multifacteur https://docs.paloaltonetworks.com/globalprotect/9-1/globalprotect-admin/authentication/configure-globalprotect-to-facilitate-multi-factor-authentication-notifications
- GlobalProtect : politique d'authentification avec MFA https://live.paloaltonetworks.com/t5/globalprotect-articles/globalprotect-authentication-policy-with-mfa/ta-p/322236