Cookies de anulación de autenticación de GlobalProtect y CSC

Cookies de anulación de autenticación de GlobalProtect y CSC

9959
Created On 04/12/22 15:39 PM - Last Modified 05/13/24 21:52 PM


Symptom


Es posible que las cookies de anulación de autenticación no funcionen cuando se utilizan en combinación con los criterios de selección de configuración (CSC) basados en "Comprobaciones de dispositivos" y "Comprobaciones personalizadas".

Environment


  • GlobalProtect con cookies de anulación de autenticación configuradas
  • Configuración del portal mediante criterios de selección de configuración (CSC) basados en "Comprobaciones de dispositivos" y "Comprobaciones personalizadas" (no relacionadas con los criterios de selección de configuración de usuario/grupo de usuarios)

Cause


Los criterios de selección de configuración (CSC) basados en "Comprobaciones de dispositivos" y "Comprobaciones personalizadas" se basan en la recopilación de información adicional del cliente de GP (a través de getconfig_csc.esp) después de que el cliente se haya autenticado para que coincida con la configuración adecuada del agente del portal. Por otro lado, la configuración de manejo de cookies de anulación de autenticación (Generar/Aceptar) se especifica en Configuraciones del agente del portal. Como la configuración se determina correctamente solo después de las autenticaciones del cliente y el intercambio de getconfig_csc, no podemos estar seguros de si las cookies se aceptan hasta que es demasiado tarde (problema del tipo del huevo y la gallina).

Esta es la razón por la que se ha agregado un mensaje de advertencia de confirmación que indica:
Authentication Override y Config Selection Criteria -> Device Checks/Custom Checks están configurados. La anulación de autenticación se deshabilitará: aunque no estamos deshabilitando
las cookies, pero la configuración puede o no funcionar según lo previsto según el resto de la configuración.

Ejemplo de no funcionamiento:
  • La configuración basada en CSC (en la parte superior) acepta cookies, mientras que la configuración de coincidencia de todos a continuación (no basada en CSC) no acepta cookies
  • Durante el proceso de autenticación, Portal (lado del servidor) debe evaluar si las cookies están permitidas, pero es imposible determinar si la configuración basada en CSC coincidirá hasta el intercambio "getconfig_csc.esp" que viene después de la autenticación
  • En este punto, el lado del servidor encontrará una posible coincidencia de configuración (la que no tiene criterios CSC) y usará su configuración relacionada con las cookies (en este ejemplo en particular, no acepta cookies) y el usuario se verá obligado a autenticarse, aunque eventualmente coincidirá con la configuración basada en CSC (después del intercambio "getconfig_csc.esp") que permite cookies

El proceso de conexión del portal es el siguiente:
  • Autenticación (diferenciación posible en función del sistema operativo) basada en el perfil de autenticación y/o el perfil de certificado.
  • Es posible que se permitan/acepten cookies si existe una posible coincidencia con la configuración del agente del portal que no requiere comprobaciones de CSC, que también acepta cookies; Esto permitiría que la cookie sea aceptada, antes de "getconfig_csc" la selección de la configuración adecuada.
  • Nota: independientemente de la posible coincidencia de configuración (antes del intercambio de CSC) y de las cookies utilizadas o no, ¡siempre estamos haciendo coincidir la configuración de agente correcta al final! El usuario siempre recibirá la configuración deseada, la configuración "pre-emparejada" solo se usa en el lado del servidor para decidir cómo manejar las cookies durante el proceso de autenticación.
  • Después de la autenticación (con o sin cookies), "getconfig_csc" proporciona detalles adicionales necesarios para que coincida correctamente con la configuración exacta del agente del portal.

Resolution


Dependiendo de las configuraciones de cliente enumeradas en "Configuración del portal de GlobalProtect > agente", es posible que tengamos o no una anulación de autenticación exitosa con criterios de selección de configuración (CSC) basados en "Comprobaciones de dispositivos" y "Comprobaciones personalizadas" configuradas. 

Escenario 1 : Todas las configuraciones del agente del portal aceptan cookies
Este escenario es alcanzable. Debemos asegurarnos de que haya una configuración de agente de portal no basada en CSC que acepte cookies y que se pueda "emparejar previamente" antes de la evaluación de CSC. Podemos clonar configuraciones individuales basadas en CSC, eliminar la parte de selección de CSC y colocar el clon justo debajo de la configuración basada en CSC (que no sería tan elegante si hay muchas configuraciones) O podemos tener una configuración de agente "general" no basada en CSC al final de la lista, que contendría la configuración adecuada de aceptación de cookies; Esta configuración en particular debe restringirse en términos de características (y/o puertas de enlace asignadas), pero el punto es que no debe alcanzarse en absoluto para la coincidencia de configuración "final" (después de la evaluación de CSC), sino que solo debe aprovecharse para el manejo de cookies. Es posible que los clientes ya tengan configuraciones no basadas en CSC con posibles coincidencias que permiten la funcionalidad de cookies sin agregar esta política en la parte inferior. 

Escenario 2 : Todas las configuraciones del agente del portal NO aceptan cookies
Este escenario también se puede lograr. Aquí no hay instrucciones especiales. Las cookies no deben estar habilitadas en ninguna configuración del agente del portal. 

Escenario 3 : Opciones de configuración mixtas (algunas configuraciones del agente aceptan cookies, mientras que otras no)
Este escenario puede o no ser alcanzable dependiendo de lo que el cliente final esté tratando de lograr; La sugerencia sería tener políticas de cookies coherentes (Escenario 1/2) si es posible.
La forma de lograr parte de la configuración mixta (desde la perspectiva de las cookies) con CSC involucrado sería (similar al escenario 1):
  • Clonación de configuraciones basadas en CSC
  • Eliminación de la configuración clonada de los requisitos basados en CSC (condiciones "Comprobaciones de dispositivos" y "Comprobaciones personalizadas")
  • Colocándola justo debajo de la política basada en CSC que se ha clonado
De esta manera, podemos controlar los criterios de cookies con la configuración no basada en CSC, que se espera que se utilice en la etapa de "pre-coincidencia" (solo para cookies). La advertencia puede ser que el usuario probablemente coincida con la misma configuración si una evaluación adicional de CSC no produce una coincidencia, mientras que es posible que queramos que coincida una política diferente en este caso (por ejemplo, alguna política general a continuación) - en este caso debemos tener cuidado con lo que se debe proporcionar como configuración al usuario final en estas políticas clonadas.
Otro problema con el enfoque de configuración "clonada" es que varios clones de configuración basados en CSC pueden tener el mismo aspecto después de eliminar la pieza de CSC; 
Ejemplo:
  • CSC_A config y CSC_B config tienen sus respectivos clones no basados en CSC creados con el siguiente orden: CSC_A, Non_CSC_A_Clone, CSC_B Non_CSC_B_Clone.
  • Si las configuraciones de "Clonar" son las mismas, Non_CSC_B_Clone nunca coincidirán, lo que significa que siempre se usarán Non_CSC_A_Clone configuraciones (lo cual es problemático en caso de que CSC_A y CSC_B necesiten tener un manejo de cookies diferente).
No existe una solución perfecta para los entornos de configuración mixta (desde la perspectiva de la autenticación y la anulación de cookies), ya que estamos limitados por el diseño actual.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNaWCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language