El usuario se conecta al portal recién implementado GP sin solicitud de credenciales

• No hay solicitud de credenciales después de cambiar de un GP portal a un segundo. Este segundo portal puede ser un portal recién implementado.
• GP La configuración relacionada en ambos portales es la misma con respecto al perfil de autenticación (mismo servidor de autenticación como LDAP o Radius, etc.) y GP los Certificados.
• Guardar credenciales de usuario se comprueba en GP la configuración del portal.

• UnaNY Pan-OS firewall

• Aquí el cliente está conectado con el portal GP1:

 

• PanGPS envía user_credential mensaje a PanGPA:

<response>
	<type>user_credential</type>
	<status>Disconnected</status>
	<protocol/>
	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<error/>
	<product-version>5.2.5-66</product-version>
	<product-code>&quot;{C531B514-763E-4495-A3C4-1B28C749A343}&quot;</product-code>
	<portal-status>User authentication failed</portal-status>
	<user-name/>
	<username-type>regular</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>gp2.paloaltonetworks.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<authentication-message>Enter login credentials</authentication-message>
	<autosubmit>no</autosubmit>
	<cc-username/>
	<auth-failed-password-empty>false</auth-failed-password-empty>
	<username-label>Username</username-label>
	<password-label>Password</password-label>
	<auth-api>no</auth-api>
</response>

• PanGPA recupera el nombre de usuario/contraseña y responde a PanGPS con el mensaje de credenciales de usuario para la autenticación del portal.

(P11236-T8552)Debug( 361): 04/12/21 17:05:24:686 Receive gps message with type user_credential.
(P11236-T8552)Debug( 799): 04/12/21 17:05:24:686 retreivePasswdFromSecureStore - password is not empty.

(P11236-T8552)Debug( 325): 04/12/21 17:05:24:686 ===> response sent to GPI = <response><type>user_credential</type><error></error><auth-message>Enter login credentials</auth-message><disabled>no</disabled></response>
(P11236-T4748)Debug(3315): 04/12/21 17:05:25:107 enum result is 0000000000000000
(P11236-T4748)Debug(3341): 04/12/21 17:05:25:107 gbCheckInsertSmardCard is false, quit the enum loop
(P11236-T9784)Debug( 611): 04/12/21 17:05:25:201 Send command to Pan Service
(P11236-T9784)Debug( 626): 04/12/21 17:05:25:201 Command = <request><type>user_credential</type><portal>gp2.paloaltonetworks.com</portal><pid>11236</pid>
<user>paloalto</user><passwd>*********</passwd><checkupdate>no</checkupdate><allow-cached-portal>yes</allow-cached-portal><remember-me>yes</remember-me>
<manual-select-gateway-ip></manual-select-gateway-ip><portal-certificate-verification>yes</portal-certificate-verification><win-user>user1</win-user>
<proxy-auto-detect>1</proxy-auto-detect><proxy-config-url></proxy-config-url><proxy></proxy><proxy-bypass></proxy-bypass><user-profile-type>0</user-profile-type>
<preferred-gateway></preferred-gateway><preferred-gateway-address></preferred-gateway-address><saved-user>paloalto</saved-user><saved-passwd>********</saved-passwd>
<portal-2fa>no</portal-2fa><use-ssl-tunnel>no</use-ssl-tunnel><pre-logon-then-on-demand>no</pre-logon-then-on-demand><domain>089A56DD-3791-4</domain>
<default-browser>0</default-browser></request>

• Este es el comportamiento esperado, ya que la nueva configuración del portal no surtida efecto hasta que se conecte correctamente.Cuando cambiamos el portal de A a , antes de conectar con , B B PanGP todavía utiliza la configuración almacenada A en caché del portal.

• Si se requiere que se pida al usuario credenciales, se debe establecer "Guardar credenciales de usuario" NO (o "Guardar solo nombre de usuario") para todas las GP VPN de la red