GlobalProtect 認証済み Cookie を使用する場合、ユーザーはドメイン「(null)」で識別されます
6075
Created On 06/21/22 01:25 AM - Last Modified 05/08/25 08:27 AM
Symptom
- のglobalprotectユーザーは、予想されるドメイン プレフィックスまたは「(empty-domain)」ではなく、「(null)\uesrname」として識別されます。これにより、ユーザー トラフィックが拒否ルールにヒットします。
> show user ip-user-mapping all IP Vsys From User Connected GW IP IdleTimeout(s) MaxTimeout(s) --------------------------------------------- ------------------- ------- -------------------------------- ------------------------- -------------- ------------- x.x.x.x vsys1 GP (null)\user1 y.y.y.y 10359 10359
この問題は、ポータル Cookie が有効になっている場合にのみ発生します。 からチェックを外すと通信網>GlobalProtect >ポータル> GlobalProtect_Portal >エージェント>設定>認証> 「認証オーバーライド用の Cookie を生成」、問題は発生しません。
Environment
- GlobalProtect ポータルで認証 Cookie が有効になっている
- Prisma Access
- PAN-OS 10.0.8
Cause
問題がありますPAN-184291で修正されましたPAN-OSポータルがドメイン情報を正しく取得してゲートウェイに送信できなかった 10.0.11 および 10.1.6。
Resolution
へのアップグレードPAN-OS10.0.11 または 10.1.6 以降
また
回避策
- Cookie の生成を無効にするか、ゲートウェイで Cookie を生成します