GlobalProtect 网关登录显示域为（空）的源用户

• 帕洛阿尔托防火墙
• PAN-OS 9.1及以上。
• GlobalProtect 网关认证。
• 身份验证覆盖 Cookie。

• 门户认证成功后生成的认证覆盖cookie，持有（无效的）域的值而不是实际的域名。
• 在网关身份验证期间，身份验证覆盖返回的 cookieGPapp将用户名注册为（空）/用户名;这导致安全policy匹配失败
• 在 appweb3-sslvpn.log (更少的 mp-log appweb3-sslvpn.log ), 域名显示为无效的

panGlobalProtectGetConfigCSC: Begin... user=user1@plano.com, domain=(null),user_agent=PAN GlobalProtect/5.2.9-35 (Microsoft Windows 10 Enterprise , 64-bit)

解决：

1. 该问题已修复PAN-184291在PAN-OS10.1.6 , 10.0.11, 9.1.15
2. 升级应该可以解决问题。

解决方法：选择下面提到的解决方法之一。

1. 通过导航到以下内容禁用身份验证覆盖 cookieGUI路径：

• 网络 >GlobalProtect > 门户 > (portal-config) > Agent > (agent-config) > Authentication > Authentication Override
• 网络 >GlobalProtect > 网关 > (网关配置) > 代理 > 客户端设置 > (代理配置) > 身份验证覆盖

2. 在门户上禁用 cookie 生成并在网关上启用 cookie 生成和接受

门户或网关上的 Cookie 身份验证