L’utilisateur se connecté au portail GP nouvellement déployé sans invite d’identification

• Aucune invite d’identification après le passage GP d’un portail à une seconde. Ce deuxième portail peut être un portail nouvellement déployé.
• GP la configuration connexe sur les deux portails est la même en ce qui concerne le profil d’authentification (même serveur d’authentification LDAP comme ou Radius, etc.) et GP les certificats.
• Enregistrer les informations d’identification des utilisateurs est vérifié dans la GP configuration du portail.

• ANY Pan-OS firewall

• Ici, le client est connecté à Portal GP1:

 

• PanGPS envoie user_credential message à PanGPA :

<response>
	<type>user_credential</type>
	<status>Disconnected</status>
	<protocol/>
	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<error/>
	<product-version>5.2.5-66</product-version>
	<product-code>&quot;{C531B514-763E-4495-A3C4-1B28C749A343}&quot;</product-code>
	<portal-status>User authentication failed</portal-status>
	<user-name/>
	<username-type>regular</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>gp2.paloaltonetworks.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<authentication-message>Enter login credentials</authentication-message>
	<autosubmit>no</autosubmit>
	<cc-username/>
	<auth-failed-password-empty>false</auth-failed-password-empty>
	<username-label>Username</username-label>
	<password-label>Password</password-label>
	<auth-api>no</auth-api>
</response>

• PanGPA récupère le nom d’utilisateur/mot de passe et répond à PanGPS avec le message d’identification de l’utilisateur pour l’authentification du portail.

(P11236-T8552)Debug( 361): 04/12/21 17:05:24:686 Receive gps message with type user_credential.
(P11236-T8552)Debug( 799): 04/12/21 17:05:24:686 retreivePasswdFromSecureStore - password is not empty.

(P11236-T8552)Debug( 325): 04/12/21 17:05:24:686 ===> response sent to GPI = <response><type>user_credential</type><error></error><auth-message>Enter login credentials</auth-message><disabled>no</disabled></response>
(P11236-T4748)Debug(3315): 04/12/21 17:05:25:107 enum result is 0000000000000000
(P11236-T4748)Debug(3341): 04/12/21 17:05:25:107 gbCheckInsertSmardCard is false, quit the enum loop
(P11236-T9784)Debug( 611): 04/12/21 17:05:25:201 Send command to Pan Service
(P11236-T9784)Debug( 626): 04/12/21 17:05:25:201 Command = <request><type>user_credential</type><portal>gp2.paloaltonetworks.com</portal><pid>11236</pid>
<user>paloalto</user><passwd>*********</passwd><checkupdate>no</checkupdate><allow-cached-portal>yes</allow-cached-portal><remember-me>yes</remember-me>
<manual-select-gateway-ip></manual-select-gateway-ip><portal-certificate-verification>yes</portal-certificate-verification><win-user>user1</win-user>
<proxy-auto-detect>1</proxy-auto-detect><proxy-config-url></proxy-config-url><proxy></proxy><proxy-bypass></proxy-bypass><user-profile-type>0</user-profile-type>
<preferred-gateway></preferred-gateway><preferred-gateway-address></preferred-gateway-address><saved-user>paloalto</saved-user><saved-passwd>********</saved-passwd>
<portal-2fa>no</portal-2fa><use-ssl-tunnel>no</use-ssl-tunnel><pre-logon-then-on-demand>no</pre-logon-then-on-demand><domain>089A56DD-3791-4</domain>
<default-browser>0</default-browser></request>

• Ce comportement est attendu puisque le nouveau portail config n’entrera pas en vigueur tant qu’il n’aura pas été connecté avec succès.Lorsque nous passons du A portail de , avant connecté à , B B PanGP utilise toujours le portail A 's config mis en cache.

• S’il est nécessaire que l’utilisateur soit invité à obtenir des informations d’identification, alors « Enregistrer les informations d’identification utilisateur » doit être défini NO sur (ou « Enregistrer le nom d’utilisateur seulement ») pour GP tous les VPN de votre réseau.