Der CLI-Befehl sudo globalprotect importiert kein Clientzertifikat unter Ubuntu

$ sudo globalprotect import-certificate --location ~/cert_Client-Cert.p12
[sudo] password for user1:
Please input passcode:

GlobalProtect verfügt über einen Prozess namens PanGPA , der im Benutzerkontext ausgeführt wird. Wenn Sie sich beispielsweise als user1 angemeldet haben, wird das PanGPA im Kontext user1 ausgeführt.

~$ id
uid=1000(user1) gid=1000(user1) groups=1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lxd)

$ ps -ef | grep PanGPA
user1     375660  375651  0 18:02 ?        00:00:00 /opt/paloaltonetworks/globalprotect/PanGPA start

Die PanGPA.log unter ~/. Das Verzeichnis GlobalProtect/ zeigt die Prozess-ID (PID) des ausgeführten PanGPA und die UID des Benutzers an, mit dem es ausgeführt wird
 

P375660-T1160189760 12/21/2023 18:02:24:791 Info ( 236): ################### main - PanGPA started. pid = 375660. #################
#
P375660-T1160189760 12/21/2023 18:02:24:791 Debug( 163): Current login user is user1.
...
P375660-T1160189760 12/21/2023 18:02:24:913 Debug(2348): SetupDBusEnv: UID                      = 1000

Der PanGPA akzeptiert die globalprotect CLI-Befehle, die im selben Benutzerkontext ausgeführt werden, und validiert die UID.
Wenn der Befehl globalprotect in einem anderen Benutzerkontext oder als sudo (uid 0) ausgeführt wird, schlägt der Befehl fehl oder bleibt hängen, und PanGPA.log zeigt einen Fehler an
 

- Command run as sudo
$ sudo globalprotect import-certificate --location ~/cert_Client-Cert.p12 
[sudo] password for user1: 
Please input passcode:

- PanGPA.log
P375660-T1048561408 12/21/2023 18:33:33:785 Debug(1011): GpiCommandProc - received message: <request><type>import-certificate</type><uid>0</uid><client-cert-path>/home/user1/cert_Client-Cert-2.p12</client-cert-path><client-cert-passcode>********</client-cert-passcode></request>
P375660-T1048561408 12/21/2023 18:33:33:786 Debug( 217): handleUIData - uid did not match gpi's uid. return.
 

Schlussfolgerung: Das Verhalten wird erwartet, und gemäß dem Entwurf führen Sie bitte den globalprotect CLI-Befehl im selben Benutzerkontext aus, in dem PanGPA ausgeführt wurde.