【零信任产品】【认证异常】隔离网环境奇安信ID无法正常下载

刘威07发表于:2021年04月16日 10:44:50

1     问题描述

零信任产品部署在隔离网环境时,不能通过配置TAC本身IP地址的方式生成奇安信ID下载二维码,需要配置成奇安信ID公网的下载地址。

奇安信ID公网下载地址:

https://appstore.qianxin.com/app/download/0cda8d99-36e1-4669-9214-a42bec4b20dd

image.png

在开启多因子认证后,客户需要下载奇安信ID来进行身份验证,但在点击“下载奇安信ID”跳转的下载界面里,手机通过扫描二维码不能正常下载奇安信ID软件。

image.png

2     适用场景

适用产品:奇安信零信任相关产品(TAC、TAP和TIP)

硬件型号:型号无关

系统版本:1.10P1、1.10P2和1.10P3

3     原因分析

查看手机扫描TAC生成的二维码跳转的奇安信ID下载链接为:

https://appstore.qianxin.com/app/download/0cda8d99-36e1-4669-9214-a42bec4b20dd:443/fw/token.php

可以看到在配置的下载地址后面,TAC又添加了以下路径:443/fw/token.php,因此导致手机扫描二维码后无法正常下载奇安信ID软件。

4     解决办法

4.1     方法1(建议)

升级零信任产品到1.11以上版本,二维码管理中新增外网地址功能项,可以直接添加奇安信ID公网下载地址。

image.png

4.2     方法2

如果客户现网环境不能进行版本升级,那么可以通过替换底层文件的方式来解决此问题。

通过CRT或者SSH软件,使用root账户登录TAC底层命令行,按步骤替换以下文件:

1.     进入/ssl/www路径下替换sectoken.php文件

image.png

2.     进入/ssl/www/fw路径下替换pic_make.php文件

image.png

3.     进入/ssl/www/admin/mobile路径下替换global2.php文件和global_mng.php文件

image.png

如果需要替换文件,请提交工单反馈给奇安信技术支持工程师(二线),获取更多帮助。