El comando sudo globalprotect CLI no importa el certificado de cliente en Ubuntu

El comando sudo globalprotect CLI no importa el certificado de cliente en Ubuntu

5758
Created On 12/21/23 18:48 PM - Last Modified 02/02/24 05:43 AM


Question


Un usuario que ha iniciado sesión desea importar un certificado de cliente en la aplicación GP en Ubuntu/Linux, pero cuando se ejecuta el comando sudo globalprotect , no importa el certificado, se bloquea y no da ningún resultado.
  
$ sudo globalprotect import-certificate --location ~/cert_Client-Cert.p12
[sudo] password for user1:
Please input passcode:


 

Environment


Aplicación
GlobalProtect Ubuntu/Linux

Answer


GlobalProtect tiene un proceso llamado PanGPA que se ejecuta en el contexto del usuario. Por ejemplo, si ha iniciado sesión como usuario1, el PanGPA se ejecuta en el contexto del usuario1.

~$ id
uid=1000(user1) gid=1000(user1) groups=1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lxd)

$ ps -ef | grep PanGPA
user1     375660  375651  0 18:02 ?        00:00:00 /opt/paloaltonetworks/globalprotect/PanGPA start

 

El PanGPA.log bajo ~/. El directorio GlobalProtect/ muestra el ID de proceso (pid) de la ejecución de PanGPA y el uid del usuario con el que se está ejecutando
 

P375660-T1160189760 12/21/2023 18:02:24:791 Info ( 236): ################### main - PanGPA started. pid = 375660. #################
#
P375660-T1160189760 12/21/2023 18:02:24:791 Debug( 163): Current login user is user1.
...
P375660-T1160189760 12/21/2023 18:02:24:913 Debug(2348): SetupDBusEnv: UID                      = 1000


El PanGPA acepta los comandos de la CLI de globalprotect que se ejecutan en el mismo contexto de usuario y valida el uid.
Cuando el comando globalprotect se ejecuta en otro contexto de usuario o como sudo (uid 0), el comando fallará o se bloqueará y PanGPA.log mostrará un error
 

- Command run as sudo
$ sudo globalprotect import-certificate --location ~/cert_Client-Cert.p12 
[sudo] password for user1: 
Please input passcode:

- PanGPA.log
P375660-T1048561408 12/21/2023 18:33:33:785 Debug(1011): GpiCommandProc - received message: <request><type>import-certificate</type><uid>0</uid><client-cert-path>/home/user1/cert_Client-Cert-2.p12</client-cert-path><client-cert-passcode>********</client-cert-passcode></request>
P375660-T1048561408 12/21/2023 18:33:33:786 Debug( 217): handleUIData - uid did not match gpi's uid. return.
 


Conclusión: El comportamiento es esperado y, según el diseño, ejecute el comando globalprotect CLI en el mismo contexto de usuario en el que se ha estado ejecutando PanGPA
 

Additional Information


Guía del administrador de GlobalProtect: Descargue e instale la aplicación GlobalProtect para Linux
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhM4CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language