Autenticación de cookies de GlobalProtect en PAN-OS 10.1
4848
Created On 04/27/22 04:15 AM - Last Modified 03/11/25 20:22 PM
Environment
- Cortafuegos de Palo Alto
- PAN-OS 10.1 y superior
- Aplicación GlobalProtect (GP)
- Autenticación de cookies en el portal/pasarela
Resolution
To better improve the user experience while using the GlobalProtect App, you can enable cookie authentication on either the Portal and/or Gateway to reduce the amount of times a user must authenticate. You can complete this by performing the following steps:
- Habilitar la autenticación de cookies en el Portal GP
- Vaya a Red > GlobalProtect > Portales > [Seleccionar portal] > Agente > [Seleccionar configuración adecuada] > Autenticación > Anulación de autenticación
- Seleccione la casilla de verificación para las opciones de generar y aceptar
- Especifique la duración de la cookie en minutos, horas o días junto con el certificado apropiado para el cifrado/ descifrado y seleccione OK dos veces.
- Habilitar la autenticación de cookies en GP Gateway
- Vaya a Red > GlobalProtect > Puertas de enlace > [Seleccionar puerta de enlace] > Agente > Configuración del cliente > [Seleccionar configuración adecuada] > Anulación de autenticación
- Seleccione la casilla de verificación junto a la opción de aceptar (ya se está generando en el Portal, por lo que no es necesario aquí)
- Especifique la duración de la cookie en minutos, horas o días junto con el mismo certificado del Paso 1c y seleccione OK dos veces
- Confirme sus cambios
Afterwards, we can verify the cookie is successfully generated and used for authentication on the firewall by using the following methods:
- Compruebe los registros del supervisar en la GUI del cortafuegos
- Vaya a Monitor > Registros > GlobalProtect
- Puede aislar fácilmente sus registros utilizando parámetros de filtro similares a los que se muestran en la imagen a continuación (por ejemplo, nombre del portal/puerta de enlace y nombre de usuario)
- Generación de un archivo de soporte técnico en el Portal/Gateway GP
Nota: Se deben habilitar depuraciones adicionales antes de la autenticación para poder ver el proceso completo de creación de cookies (rasmgr, sslvpn [10.1], gpsvc [10.2 y superior])
- Después de descargar el archivo de soporte técnico desde Dispositivo > Soporte > Archivo de soporte técnico, expanda la carpeta y navegue hasta el directorio var/log/pan
- Debería ver la cookie generándose después de una autenticación exitosa en el Portal y luego utilizándose para la autenticación del Gateway similar a las que se muestran a continuación:
- appweb3-sslvpn.log ( menos mp-log appweb3-sslvpn.log )
Iniciar sesión en el portal -
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1668): found client config!
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4318): panGlobalProtectLogin: pan_generate_portal_user_auth_cookie
debug: pan_gp_rsa_gen_app_auth_cookie(pan_gp_cfg.c:2560): un-encrypted auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100, user=localuser2, remote_addr=192.168.150.100
debug: pan_generate_portal_user_auth_cookie(panPhpGlobalProtect.c:2369): generate portal user auth cookie successful
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4407): loginStatus=1; no pwd_expiry_msg
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4443): panGlobalProtectLogin: set domain=(empty_domain) from EMPTYDOMAIN
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4487): user(localuser2) gen_prelogon_cookie(yes) prelogon_exist(no) gen_cookie(yes) has_prelogon_cookie(no)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4552): panGlobalProtectLogin: cleanup
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4554): return portal user auth cookie(p6Wu9gz8Vt******lB7ofFNw==)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4592): login ret string sent to the client is : Success
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4610): login response sent to the client is : Success
Inicio de sesión en Gateway -
debug: panSslVpnLogin(panPhpSslVpn.c:2319): panSslVpnLogin: Begin... user=localuser2, empty passwd=no, empty new passwd=yes, input=, hostid=.....
<><><><><><><><><><>
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2699): decrypt auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2761): curtime(1651024558) cookietime(1651024558) end=0
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2771): remote_addr(192.168.150.100) ret_remote_addr(0-6496a8c0ffff0000)
debug: panSslVpnLogin(panPhpSslVpn.c:2807): gateway user auth cookie decrypt successful
debug: panSslVpnLogin(panPhpSslVpn.c:2972): clientaddr=192.168.150.100, cookie ip=192.168.150.100; source ip check enable 0, netmask v4 32 v6 128
<><><><><><><><><><>
debug: panSslVpnLogin(panPhpSslVpn.c:3693): Cookie valid : Getting the framed ip
debug: panSslVpnLogin(panPhpSslVpn.c:3878): User localuser2 authResult = 1 cookie_valid(yes)
debug: panSslVpnLogin(panPhpSslVpn.c:4082): Valid cookie, skipping user authentication
- gpsvc.log ( menos mp-log gpsvc.log )
Iniciar sesión en el portal -
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:25.758824212-05:00","message":"NewHttpTask: task for gp-getconfig(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.807403111-05:00","message":"HandlePortalAuthOverrideCookie: gen-cookie(yes)"}
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.821376872-05:00","message":"GenerateAuthCookie: cleartext localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100, authCookieStr fCWJT1dBuLZvcsBAgOqwrho60vxT0U+Zv..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.826875761-05:00","message":"RunHttp: task for gp-getconfig is completed"}
Inicio de sesión en Gateway -
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.788277584-05:00","message":"NewHttpTask: task for gw-login(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803233694-05:00","message":"DecryptAuthCookie: auth cookie after decryption: localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803383847-05:00","message":"AuthWithCookie: set domain=[domain-name] from auth override cookie"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803416778-05:00","message":"AuthWithCookie: set user=localuser2 from auth override cookie"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.80681415-05:00","message":"HandleGWAuthOverrideCookie: gen-cookie(no)"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.807099047-05:00","message":"gwLogin: PAN_AUTH_SUCCESS"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.809681398-05:00","message":"RunHttp: task for gw-login is completed"}
- Al navegar a rasmgr.log debería aparecer la cookie que se presenta para la autenticación, similar a los registros que se muestran a continuación:
rasmgr.log ( menos mp-log rasmgr.log )
debug: sslvpn_set_pub_ip(src/rasmgr_sslvpn.c:1499): GP Client conn type is ipv4 (0), pub_ip 192.168.150.100, pub_ip6 0:0:0:0:0:0:0:0, rep_pub_ip 192.168.150.100, rep_pub_ip6 0:0:0:0:0:0:0:0
debug: _print_client_requests(src/rasmgr_sslvpn.c:157): (login) gw login (1651024558722, 2022-04-26 18:55:58.722, 192.168.150.100); getconfig (0, , ::); sslvpnconnrect (0, , ::)
new cookie: ******
rasmgr_sslvpn_client_register space globalprotect-gw-N domain user localuser2 computer 6347E0B5-3379-4 result 0