MFA を使用した認証ポリシーがグローバル保護接続を介したRDPで機能しない

MFA を使用した認証ポリシーがグローバル保護接続を介したRDPで機能しない

5570
Created On 10/05/22 05:00 AM - Last Modified 01/28/25 21:44 PM


Symptom


  • RDP は「内部エラーが発生しました」というエラーで失敗します。
  • image (12).png
  • PAN_GPS logs
    CPanMSService::MFAuthHandleMsg: received optType=3, optLength=62, optVal=0x68
CPanMSService::MFAuthHandleMsg: received url=http://10.16.0.1:6080/php/browser_challenge.php?vsys=1&rule=0
CPanMSService::MFAuthHandleMsg: host name =10.16.0.1:6080
CPanMSService::IsHostInTrustedList() host = 10.16.0.1:6080 is not in trusted host list!
CPanMSService::MFAuthHandleMsg: The host (10.16.0.1:6080) is not in the trusted host list.
  • ファイアウォールでは、アプリケーション「cotp」のセッション終了理由が「auth-policy-deny」として表示されています。

Environment


  • グローバル保護
  • パンOS

Cause


  • リダイレクト ホストが信頼できる MFA ホスト リストに設定されていないため、認証に失敗しました。

Resolution


  1. ネットワーク > GlobalProtect > ポータル > 設定されたポータルを選択 > エージェント > アプリを選択 > 次のアプリ構成パラメータを変更します。
  2. 信頼できるMFAゲートウェイフィールドに、PANGPSログで見つかったリダイレクトされたホストのIPアドレスとポートを追加します。 スクリーンショット 2022-10-05 105209.png

Additional Information


  • PAN-GPSログをチェックして、リダイレクトホストの正確なIPアドレスを確認します。
  • 注: Windows Defenderファイアウォールを無効にして、Windows Defenderファイアウォールが MFA プロンプトをブロックしていないかどうかを確認します。
  • 多要素認証通知を容易にするために GlobalProtect を構成する https://docs.paloaltonetworks.com/globalprotect/9-1/globalprotect-admin/authentication/configure-globalprotect-to-facilitate-multi-factor-authentication-notifications
  • GlobalProtect: MFA を使用した認証ポリシー https://live.paloaltonetworks.com/t5/globalprotect-articles/globalprotect-authentication-policy-with-mfa/ta-p/322236
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wljdCAA&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language