ユーザーは GP 、資格情報のプロンプトなしで新しく展開されたポータルに接続されます。

ユーザーは GP 、資格情報のプロンプトなしで新しく展開されたポータルに接続されます。

4347
Created On 03/24/21 08:24 AM - Last Modified 06/07/24 21:12 PM


Symptom


  • ポータルから 1 つ目に切り替えた後 GP 、資格情報のプロンプトが表示されません。 この 2 番目のポータルは、新しくデプロイされたポータルにすることができます。
  • GP 両方のポータルの関連設定は、認証プロファイル(同じ認証サーバ LDAP やRadiusなど)と証明書に関して同 GP じです。
  • ポータル構成でユーザー資格情報の保存がオンになります GP 。

Environment


  • Ny Pan-OS firewall

Cause


  • ここでクライアントはポータル GP1 に接続されています。
ユーザー追加イメージ
 
同じユーザーがパスワードの入力を求められることなく GP2 に接続できます。
 
ユーザー追加イメージ
  • パンGPSはパンgpaにuser_credentialメッセージを送信します:
<response>
	<type>user_credential</type>
	<status>Disconnected</status>
	<protocol/>
	<portal-config-version>4100</portal-config-version>
	<error-must-show/>
	<error-must-show-level>error</error-must-show-level>
	<error/>
	<product-version>5.2.5-66</product-version>
	<product-code>&quot;{C531B514-763E-4495-A3C4-1B28C749A343}&quot;</product-code>
	<portal-status>User authentication failed</portal-status>
	<user-name/>
	<username-type>regular</username-type>
	<state>Disconnected</state>
	<check-version>no</check-version>
	<portal>gp2.paloaltonetworks.com</portal>
	<discover-ready>no</discover-ready>
	<mdm-is-enabled>no</mdm-is-enabled>
	<authentication-message>Enter login credentials</authentication-message>
	<autosubmit>no</autosubmit>
	<cc-username/>
	<auth-failed-password-empty>false</auth-failed-password-empty>
	<username-label>Username</username-label>
	<password-label>Password</password-label>
	<auth-api>no</auth-api>
</response>
 
  • PanGPA はユーザ名/パスワードを取得し、ポータル認証用のユーザクレデンシャル メッセージを含む PanGPS に応答します。
(P11236-T8552)Debug( 361): 04/12/21 17:05:24:686 Receive gps message with type user_credential.
(P11236-T8552)Debug( 799): 04/12/21 17:05:24:686 retreivePasswdFromSecureStore - password is not empty.

(P11236-T8552)Debug( 325): 04/12/21 17:05:24:686 ===> response sent to GPI = <response><type>user_credential</type><error></error><auth-message>Enter login credentials</auth-message><disabled>no</disabled></response>
(P11236-T4748)Debug(3315): 04/12/21 17:05:25:107 enum result is 0000000000000000
(P11236-T4748)Debug(3341): 04/12/21 17:05:25:107 gbCheckInsertSmardCard is false, quit the enum loop
(P11236-T9784)Debug( 611): 04/12/21 17:05:25:201 Send command to Pan Service
(P11236-T9784)Debug( 626): 04/12/21 17:05:25:201 Command = <request><type>user_credential</type><portal>gp2.paloaltonetworks.com</portal><pid>11236</pid>
<user>paloalto</user><passwd>*********</passwd><checkupdate>no</checkupdate><allow-cached-portal>yes</allow-cached-portal><remember-me>yes</remember-me>
<manual-select-gateway-ip></manual-select-gateway-ip><portal-certificate-verification>yes</portal-certificate-verification><win-user>user1</win-user>
<proxy-auto-detect>1</proxy-auto-detect><proxy-config-url></proxy-config-url><proxy></proxy><proxy-bypass></proxy-bypass><user-profile-type>0</user-profile-type>
<preferred-gateway></preferred-gateway><preferred-gateway-address></preferred-gateway-address><saved-user>paloalto</saved-user><saved-passwd>********</saved-passwd>
<portal-2fa>no</portal-2fa><use-ssl-tunnel>no</use-ssl-tunnel><pre-logon-then-on-demand>no</pre-logon-then-on-demand><domain>089A56DD-3791-4</domain>
<default-browser>0</default-browser></request>
 
  • 新しいポータル設定は正常に接続されるまで有効にならないため、これは予期される動作です。ポータルを に切り替えて A B から に接続する前に B 、PanGP はポータル A のキャッシュされた構成を使用します。

Resolution


  • ユーザーに資格情報の入力を求めるメッセージが必要な場合は、ネットワーク内のすべての VPN に対して「ユーザー資格情報の保存」を設定する必要があります NO (または「ユーザー名のみ保存」)。 GP
ユーザー追加イメージ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UvICAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language