GlobalProtect Gateway-Anmeldungen, bei denen der Quellbenutzer mit der Domäne (null) angezeigt wird

• Palo Alto Firewalls
• PAN-OS 9.1 und höher.
• GlobalProtect Gateway-Authentifizierung.
• Cookie zum Überschreiben der Authentifizierung.

• Das Authentifizierungsüberschreibungscookie, das nach erfolgreicher Portalauthentifizierung generiert wird, enthält den Wert (NULL) für die Domäne anstelle des tatsächlichen Domänennamens.
• Während der Gateway-Authentifizierung registriert das von zurückgegebene Authentifizierungsüberschreibungscookie GP app den Benutzernamen als (null)/username, was zu einem Fehler bei der Sicherheitsübereinstimmung policy führt
• In appweb3-sslvpn.log (abzüglich mp-log appweb3-sslvpn.log) wird der Domänenname als null angezeigt

panGlobalProtectGetConfigCSC: Begin... user=user1@plano.com, domain=(null),user_agent=PAN GlobalProtect/5.2.9-35 (Microsoft Windows 10 Enterprise , 64-bit)

Auflösung:

1. Das Problem wurde behoben unter PAN-184291 10.1.6, 10.0.11, PAN-OS 9.1.15
2. Das Problem sollte durch ein Upgrade behoben werden.

Problemumgehung: Wählen Sie eine der unten genannten Problemumgehungen aus.

1. Deaktivieren Sie das Authentifizierungsüberschreibungscookie, indem Sie zu den folgenden GUI Pfaden navigieren:

• Netzwerk-> GlobalProtect > Portals > (portal-config) > Agent > (agent-config) > Authentifizierung > Authentifizierungsüberschreibung
• Netzwerk-> GlobalProtect >-Gateways > (gateway-config) > Agent->-Client-Einstellungen > (agent-config) > Authentifizierungsüberschreibung

2. Deaktivieren Sie die Cookie-Generierung im Portal und aktivieren Sie die Cookie-Generierung und -Annahme im Gateway

Cookie-Authentifizierung auf dem Portal oder Gateway