Benutzer wird ohne Anmeldeinformationen mit dem neu GP bereitgestellten Portal verbunden

• Keine Anmeldeinformationsaufforderung nach dem Wechsel von einem GP Portal zu einem zweiten Portal. Dieses zweite Portal kann ein neu bereitgestelltes Portal sein.
• GP Die zugehörige Konfiguration auf beiden Portalen ist in Bezug auf das Authentifizierungsprofil (gleicher Authentifizierungsserver wie LDAP oder Radius usw.) und GP Zertifikate identisch.
• Benutzeranmeldeinformationen speichern ist in der GP Portalkonfiguration aktiviert.

• Any Pan-OS firewall

• Hier ist der Client mit Portal GP1 verbunden:

 

• PanGPS sendet user_credential Nachricht an PanGPA:

<response>
	<type>user_credential</type>
	<status>Disconnected</status>
	<protocol/>
	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<error/>
	<product-version>5.2.5-66</product-version>
	<product-code>&quot;{C531B514-763E-4495-A3C4-1B28C749A343}&quot;</product-code>
	<portal-status>User authentication failed</portal-status>
	<user-name/>
	<username-type>regular</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>gp2.paloaltonetworks.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<authentication-message>Enter login credentials</authentication-message>
	<autosubmit>no</autosubmit>
	<cc-username/>
	<auth-failed-password-empty>false</auth-failed-password-empty>
	<username-label>Username</username-label>
	<password-label>Password</password-label>
	<auth-api>no</auth-api>
</response>

• PanGPA ruft den Benutzernamen/das Kennwort ab und antwortet PanGPS mit der Benutzeranmeldeinformationen-Nachricht für die Portalauthentifizierung.

(P11236-T8552)Debug( 361): 04/12/21 17:05:24:686 Receive gps message with type user_credential.
(P11236-T8552)Debug( 799): 04/12/21 17:05:24:686 retreivePasswdFromSecureStore - password is not empty.

(P11236-T8552)Debug( 325): 04/12/21 17:05:24:686 ===> response sent to GPI = <response><type>user_credential</type><error></error><auth-message>Enter login credentials</auth-message><disabled>no</disabled></response>
(P11236-T4748)Debug(3315): 04/12/21 17:05:25:107 enum result is 0000000000000000
(P11236-T4748)Debug(3341): 04/12/21 17:05:25:107 gbCheckInsertSmardCard is false, quit the enum loop
(P11236-T9784)Debug( 611): 04/12/21 17:05:25:201 Send command to Pan Service
(P11236-T9784)Debug( 626): 04/12/21 17:05:25:201 Command = <request><type>user_credential</type><portal>gp2.paloaltonetworks.com</portal><pid>11236</pid>
<user>paloalto</user><passwd>*********</passwd><checkupdate>no</checkupdate><allow-cached-portal>yes</allow-cached-portal><remember-me>yes</remember-me>
<manual-select-gateway-ip></manual-select-gateway-ip><portal-certificate-verification>yes</portal-certificate-verification><win-user>user1</win-user>
<proxy-auto-detect>1</proxy-auto-detect><proxy-config-url></proxy-config-url><proxy></proxy><proxy-bypass></proxy-bypass><user-profile-type>0</user-profile-type>
<preferred-gateway></preferred-gateway><preferred-gateway-address></preferred-gateway-address><saved-user>paloalto</saved-user><saved-passwd>********</saved-passwd>
<portal-2fa>no</portal-2fa><use-ssl-tunnel>no</use-ssl-tunnel><pre-logon-then-on-demand>no</pre-logon-then-on-demand><domain>089A56DD-3791-4</domain>
<default-browser>0</default-browser></request>

• Dies ist erwartetes Verhalten, da die neue Portalkonfiguration erst wirksam wird, wenn die Verbindung erfolgreich hergestellt wurde.Wenn wir das Portal von nach wechseln, bevor wir A mit verbunden B sind, verwendet PanGP immer noch die B A zwischengespeicherte Konfiguration des Portals.

• Wenn es erforderlich ist, dass der Benutzer zur Eingabe von Anmeldeinformationen aufgefordert wird, muss für alle VPNs in Ihrem Netzwerk "Benutzeranmeldeinformationen speichern" festgelegt werden NO (oder nur Benutzername speichern). GP