问题
帕洛阿尔托网络防火墙配置为 NTLM 固定门户, 以对用户进行身份验证。未知用户试图访问网页, 而 "固定门户" 策略将显示身份验证页。但是, 一旦经过身份验证, 原始用户预期的目标站点就不会加载。而是出现连接超时消息:
注意:
在 PAN OS 5.0 中, NTLM 操作被标记为 "浏览器-挑战". 在 PAN OS 4.0 中, 4.1 相同的操作被标记为 "ntlm 验证"。
虽然 NTLM 的门户身份验证方法不需要任何用户干预, 但它需要在防火墙重定向的接口上启用响应页。
1。转到网络 > 网络配置文件 > 接口管理。
2。选择应用于固定门户重定向接口的接口管理配置文件。
3。启用响应页。
有关 NTLM 固定门户的疑难解答提示:
-
用户 ID 代理应在网络中运行。
-
Web 浏览器客户端应该支持 NTLM, 否则必须启用它 (如果适用)。IE 浏览器不应该有问题。
-
确保在适用区域 (在 "网络 > 区域" 页) 上检查启用用户标识。
-
建议对 NTLM 身份验证使用重定向方法。
-
确保创建了固定门户规则并允许源用户使用。
例如,
测试 cp 策略匹配源192.168.10.1 目标 4.2.2.2
-
CLI 命令查看适用的日志:
# 调试 l3svc 在调试
# 少 mp 日志 appweb3-l3svc. 日志
# 调试 l3svc 信息
-
CLI 命令清除防火墙中的用户名如果已经检测到
>> 清除用户缓存所有
>> 清除用户缓存-mp 所有
-
应通过以下命令将用户标识为通过 "NTLM" 进行身份验证:
>> 显示用户 ip-用户映射 ip 192.168.10.1
对固定门户重定向页问题的疑难解答
所有者: ssunku
