PAN-OS 10.1 の GlobalProtect Cookie 認証

PAN-OS 10.1 の GlobalProtect Cookie 認証

4842
Created On 04/27/22 04:15 AM - Last Modified 03/11/25 20:22 PM


Environment


  • パロアルトファイアウォール
  • PAN-OS 10.1 以上
  • GlobalProtect (GP) アプリ
  • ポータル/ゲートウェイでのCookie認証

Resolution


To better improve the user experience while using the GlobalProtect App, you can enable cookie authentication on either the Portal and/or Gateway to reduce the amount of times a user must authenticate. You can complete this by performing the following steps:
  1. GPポータルでCookie認証を有効にする
    1. ネットワーク > GlobalProtect > ポータル > [ポータルを選択] > エージェント > [適切な構成を選択] > 認証 > 認証オーバーライドに移動します。
    2. 生成と承認の両方のオプションのチェックボックスを選択します
    3. クッキーの有効期間を分、時間、または日単位で指定し、暗号化/復号化に適した証明書を指定して、 [Ok]を2回選択します。
Snapshot displaying the authentication override dialog box within the Palo Alto Networks Portal GUI
  1. GPゲートウェイでCookie認証を有効にする
    1. ネットワーク > GlobalProtect > ゲートウェイ > [ゲートウェイを選択] > エージェント > クライアント設定 > [適切な構成を選択] > 認証オーバーライドに移動します。
    2. 承認オプションの横にあるチェックボックスを選択します(ポータルですでに生成されているため、ここでは必要ありません)
    3. ステップ1cと同じ証明書とともに、Cookieの有効期間を分、時間、または日単位で指定し、 [Ok]を2回選択します。
Snapshot displaying the authentication override dialog box within the Palo Alto Networks Gateway GUI
  1. 変更をコミットする
Note: In this example, we set the lifetime to 5 minutes to present the snippet of sslvpn or gpsvc process logs.

Afterwards, we can verify the cookie is successfully generated and used for authentication on the firewall by using the following methods:
  1. ファイアウォールGUIの監視するログを確認する
    1. モニター > ログ > GlobalProtectに移動します
    2. 下のイメージに示すようなフィルターパラメータ(例:ポータル/ゲートウェイ名とユーザー名)を使用すると、ログを簡単に分離できます。
Snapshot displaying the GlobalProtect logs within the Palo Alto Networks firewall GUI.
  1. GP ポータル/ゲートウェイでテクニカル サポート ファイルを生成する
注: 完全な Cookie 作成プロセスを確認するには、認証前に追加のデバッグを有効にする必要があります (rasmgr、sslvpn [10.1]、gpsvc [10.2 以降])
  1. デバイス > サポート > テクニカルサポートファイルからテクニカルサポートファイルをダウンロードした後、フォルダを展開してvar/log/panディレクトリに移動します。
  2. ポータルへの認証が成功すると、次に示すように、Cookie が生成され、ゲートウェイ認証に使用されることがわかります。
  • appweb3-sslvpn.log ( mp-log appweb3-sslvpn.log 未満)
ポータルログイン -
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1668): found client config!
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4318): panGlobalProtectLogin: pan_generate_portal_user_auth_cookie
debug: pan_gp_rsa_gen_app_auth_cookie(pan_gp_cfg.c:2560): un-encrypted auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100, user=localuser2, remote_addr=192.168.150.100
debug: pan_generate_portal_user_auth_cookie(panPhpGlobalProtect.c:2369): generate portal user auth cookie successful
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4407): loginStatus=1; no pwd_expiry_msg
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4443): panGlobalProtectLogin: set domain=(empty_domain) from EMPTYDOMAIN
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4487): user(localuser2) gen_prelogon_cookie(yes) prelogon_exist(no) gen_cookie(yes) has_prelogon_cookie(no)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4552): panGlobalProtectLogin: cleanup
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4554): return portal user auth cookie(p6Wu9gz8Vt******lB7ofFNw==)
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4592): login ret string sent to the client is : Success
debug: panGlobalProtectLogin(panPhpGlobalProtect.c:4610): login response sent to the client is : Success
ゲートウェイログイン -
debug: panSslVpnLogin(panPhpSslVpn.c:2319): panSslVpnLogin: Begin... user=localuser2, empty passwd=no, empty new passwd=yes, input=, hostid=.....
<><><><><><><><><><>
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2699): decrypt auth cookie localuser2;;Windows;20090e21-2afb-408b-98ce-a3d39b2ac20c;1651024558;192.168.150.100
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2761): curtime(1651024558) cookietime(1651024558) end=0
debug: pan_gp_rsa_dec_app_auth_cookie(pan_gp_cfg.c:2771): remote_addr(192.168.150.100) ret_remote_addr(0-6496a8c0ffff0000)
debug: panSslVpnLogin(panPhpSslVpn.c:2807): gateway user auth cookie decrypt successful
debug: panSslVpnLogin(panPhpSslVpn.c:2972): clientaddr=192.168.150.100, cookie ip=192.168.150.100; source ip check enable 0, netmask v4 32 v6 128
<><><><><><><><><><>
debug: panSslVpnLogin(panPhpSslVpn.c:3693): Cookie valid : Getting the framed ip
debug: panSslVpnLogin(panPhpSslVpn.c:3878): User localuser2 authResult = 1 cookie_valid(yes)
debug: panSslVpnLogin(panPhpSslVpn.c:4082): Valid cookie, skipping user authentication
  • gpsvc.log ( mp-log gpsvc.log を除く)
ポータルログイン -
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:25.758824212-05:00","message":"NewHttpTask: task for gp-getconfig(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.807403111-05:00","message":"HandlePortalAuthOverrideCookie: gen-cookie(yes)"}
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.821376872-05:00","message":"GenerateAuthCookie: cleartext localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100, authCookieStr fCWJT1dBuLZvcsBAgOqwrho60vxT0U+Zv..."}
<><><><><><><><><><>
{"level":"debug","task":"1770-5","time":"2024-07-19T12:34:26.826875761-05:00","message":"RunHttp: task for gp-getconfig is completed"}
ゲートウェイログイン -
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.788277584-05:00","message":"NewHttpTask: task for gw-login(POST) request begin..."}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803233694-05:00","message":"DecryptAuthCookie: auth cookie after decryption: localuser2;[domain-name];Windows;d64830af-791e-4f75-b28b-11a0819f46cd;1721410466;192.168.150.100"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803383847-05:00","message":"AuthWithCookie: set domain=[domain-name] from auth override cookie"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.803416778-05:00","message":"AuthWithCookie: set user=localuser2 from auth override cookie"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.80681415-05:00","message":"HandleGWAuthOverrideCookie: gen-cookie(no)"}
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.807099047-05:00","message":"gwLogin: PAN_AUTH_SUCCESS"}
<><><><><><><><><><>
{"level":"debug","task":"1772-19","time":"2024-07-19T12:34:30.809681398-05:00","message":"RunHttp: task for gw-login is completed"}
  1. rasmgr.logに移動すると、以下に示すログと同様に、認証のために提示されている Cookie が表示されます。
rasmgr.log ( mp-log rasmgr.log 未満)
debug: sslvpn_set_pub_ip(src/rasmgr_sslvpn.c:1499): GP Client conn type is ipv4 (0), pub_ip 192.168.150.100, pub_ip6 0:0:0:0:0:0:0:0, rep_pub_ip 192.168.150.100, rep_pub_ip6 0:0:0:0:0:0:0:0
debug: _print_client_requests(src/rasmgr_sslvpn.c:157): (login) gw login (1651024558722, 2022-04-26 18:55:58.722, 192.168.150.100); getconfig (0, , ::); sslvpnconnrect (0, , ::)
new cookie:  ******
rasmgr_sslvpn_client_register space globalprotect-gw-N domain  user localuser2 computer 6347E0B5-3379-4 result 0

Additional Information


ポータルまたはゲートウェイでのCookie認証
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OLHCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language