Authentification des cookies GlobalProtect dans PAN-OS 10.1

Authentification des cookies GlobalProtect dans PAN-OS 10.1

4896
Created On 04/27/22 04:15 AM - Last Modified 03/11/25 20:22 PM


Environment


  • Pare-feu Palo Alto
  • PAN-OS 10.1 et versions ultérieures
  • Application GlobalProtect (GP)
  • Authentification par cookie sur le portail/la passerelle

Resolution


To better improve the user experience while using the GlobalProtect App, you can enable cookie authentication on either the Portal and/or Gateway to reduce the amount of times a user must authenticate. You can complete this by performing the following steps:
  1. Activer l'authentification par cookie sur le portail GP
    1. Accédez à Réseau > GlobalProtect > Portails > [Sélectionner un portail] > Agent > [Sélectionner la configuration appropriée] > Authentification > Remplacement de l'authentification
    2. Cochez la case pour les options de génération et d'acceptation
    3. Spécifiez la durée de vie du cookie en minutes, heures ou jours ainsi que le certificat approprié pour le cryptage/ décryptage et sélectionnez OK deux fois
Snapshot displaying the authentication override dialog box within the Palo Alto Networks Portal GUI
  1. Activer l'authentification par cookie sur la passerelle GP
    1. Accédez à Réseau > GlobalProtect > Passerelles > [Sélectionner une passerelle] > Agent > Paramètres client > [Sélectionner la configuration appropriée] > Remplacement de l'authentification
    2. Cochez la case à côté de l'option Accepter (elle est déjà générée sur le portail, elle n'est donc pas obligatoire ici)
    3. Spécifiez la durée de vie du cookie en minutes, heures ou jours avec le même certificat de l'étape 1c et sélectionnez OK deux fois
Snapshot displaying the authentication override dialog box within the Palo Alto Networks Gateway GUI
  1. Validez vos modifications
Note: In this example, we set the lifetime to 5 minutes to present the snippet of sslvpn or gpsvc process logs.

Afterwards, we can verify the cookie is successfully generated and used for authentication on the firewall by using the following methods:
  1. Vérifiez les journaux du surveiller dans l'interface graphique du pare-feu
    1. Accédez à Monitor > Logs > GlobalProtect
    2. Vous pouvez facilement isoler vos journaux en utilisant des paramètres de filtre similaires à ceux indiqués dans l' image ci-dessous (par exemple, le nom du portail/de la passerelle et le nom d'utilisateur).
Snapshot displaying the GlobalProtect logs within the Palo Alto Networks firewall GUI.
  1. Générer un fichier d'assistance technique sur le portail/la passerelle GP
Remarque : des débogages supplémentaires doivent être activés avant l'authentification afin de voir le processus complet de création de cookies (rasmgr, sslvpn [10.1], gpsvc [10.2 et supérieur])
  1. Après avoir téléchargé le fichier d'assistance technique depuis Appareil > Assistance > Fichier d'assistance technique, développez le dossier et accédez au répertoire var/log/pan
  2. Vous devriez voir le cookie être généré après une authentification réussie sur le portail, puis utilisé pour l'authentification de la passerelle, comme ceux indiqués ci-dessous :
  • appweb3-sslvpn.log ( moins mp-log appweb3-sslvpn.log )
Connexion au portail -
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1668): found client config!
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4318): panGlobalProtectLogin: pan_generate_portal_user_auth_cookie
debug: pan_gp_rsa_gen_app_auth_cookie(pan_gp_cfg.c:2560): un-encrypted auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100, user=localuser2, remote_addr=192.168.150.100
debug: pan_generate_portal_user_auth_cookie(panPhpGlobalProtect.c:2369): generate portal user auth cookie successful
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4407): loginStatus=1; no pwd_expiry_msg
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4443): panGlobalProtectLogin: set domain=(empty_domain) from EMPTYDOMAIN
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4487): user(localuser2) gen_prelogon_cookie(yes) prelogon_exist(no) gen_cookie(yes) has_prelogon_cookie(no)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4552): panGlobalProtectLogin: cleanup
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4554): return portal user auth cookie(p6Wu9gz8Vt******lB7ofFNw==)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4592): login ret string sent to the client is : Success
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4610): login response sent to the client is : Success
Connexion à la passerelle -
debug: panSslVpnLogin(panPhpSslVpn.c:2319): panSslVpnLogin: Begin... user=localuser2, empty passwd=no, empty new passwd=yes, input=, hostid=.....
<><><><><><><><><><>
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2699): decrypt auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2761): curtime(1651024558) cookietime(1651024558) end=0
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2771): remote_addr(192.168.150.100) ret_remote_addr(0-6496a8c0ffff0000)
debug: panSslVpnLogin(panPhpSslVpn.c:2807): gateway user auth cookie decrypt successful
debug: panSslVpnLogin(panPhpSslVpn.c:2972): clientaddr=192.168.150.100, cookie ip=192.168.150.100; source ip check enable 0, netmask v4 32 v6 128
<><><><><><><><><><>
debug: panSslVpnLogin(panPhpSslVpn.c:3693): Cookie valid : Getting the framed ip
debug: panSslVpnLogin(panPhpSslVpn.c:3878): User localuser2 authResult = 1 cookie_valid(yes)
debug: panSslVpnLogin(panPhpSslVpn.c:4082): Valid cookie, skipping user authentication
  • gpsvc.log ( moins mp-log gpsvc.log )
Connexion au portail -
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:25.758824212-05:00","message":"NewHttpTask: task for gp-getconfig(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.807403111-05:00","message":"HandlePortalAuthOverrideCookie: gen-cookie(yes)"}
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.821376872-05:00","message":"GenerateAuthCookie: cleartext localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100, authCookieStr fCWJT1dBuLZvcsBAgOqwrho60vxT0U+Zv..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.826875761-05:00","message":"RunHttp: task for gp-getconfig is completed"}
Connexion à la passerelle -
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.788277584-05:00","message":"NewHttpTask: task for gw-login(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803233694-05:00","message":"DecryptAuthCookie: auth cookie after decryption: localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803383847-05:00","message":"AuthWithCookie: set domain=[domain-name] from auth override cookie"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803416778-05:00","message":"AuthWithCookie: set user=localuser2 from auth override cookie"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.80681415-05:00","message":"HandleGWAuthOverrideCookie: gen-cookie(no)"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.807099047-05:00","message":"gwLogin: PAN_AUTH_SUCCESS"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.809681398-05:00","message":"RunHttp: task for gw-login is completed"}
  1. La navigation vers rasmgr.log devrait afficher le cookie présenté pour l'authentification, similaire aux journaux affichés ci-dessous :
rasmgr.log ( moins mp-log rasmgr.log )
debug: sslvpn_set_pub_ip(src/rasmgr_sslvpn.c:1499): GP Client conn type is ipv4 (0), pub_ip 192.168.150.100, pub_ip6 0:0:0:0:0:0:0:0, rep_pub_ip 192.168.150.100, rep_pub_ip6 0:0:0:0:0:0:0:0
debug: _print_client_requests(src/rasmgr_sslvpn.c:157): (login) gw login (1651024558722, 2022-04-26 18:55:58.722, 192.168.150.100); getconfig (0, , ::); sslvpnconnrect (0, , ::)
new cookie:  ******
rasmgr_sslvpn_client_register space globalprotect-gw-N domain  user localuser2 computer 6347E0B5-3379-4 result 0

Additional Information


Authentification des cookies sur le portail ou la passerelle
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OLHCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language