GlobalProtect Die Vorabanmeldung schlägt mit "auth-failed-password-empty" fehl, wenn Geräteprüfungen oder benutzerdefinierte Prüfungen mit Cookie-Authentifizierung konfiguriert sind

22508

Created On 06/17/22 10:13 AM - Last Modified 07/24/25 02:04 AM

Symptom

GlobalProtect Die Vorabanmeldung schlägt mit "auth-failed-password-empty" fehl
Der folgende Fehler wird in PanGPS angezeigt.log

(P3084-T4508)Debug(14033): 06/07/22 07:46:26:872 Auth failed. Private header is auth-failed-password-empty

Environment

GlobalProtect Portal
Geräteprüfungen oder benutzerdefinierte Prüfungen, die für Konfigurationsauswahlkriterien verwendet werden
Authentifizierungs-Außerkraftsetzungs-Cookie konfiguriert
Sowohl die Voranmeldung als auch die Benutzeranmeldung
Clientzertifikatauthentifizierung ist nicht konfiguriert
GlobalProtect App 5.1 und höher
PAN-OS 9.1 und höher

Cause

Dies ist eine Einschränkung im "Henne-Ei"-Stil, die durch die logische Reihenfolge der Überprüfungen der Anmelde- und Konfigurationsauswahlkriterien verursacht wird.

In der Anmeldephase (getconfig.esp) wird GlobalProtect überprüft, ob Geräte-/benutzerdefinierte Prüfinformationen vom Client benötigt werden
Der Client sendet diese Informationen in der Anmeldephase nicht, sodass noch keine Konfiguration abgeglichen wird
Die Einstellung "Cookie akzeptieren" im Portal wird innerhalb der Konfigurationsauswahlkriterien einer Client-Konfiguration konfiguriert
Da der Client die Geräte-/benutzerdefinierten Prüfinformationen noch nicht gesendet hat, kann er nicht mit der Clientkonfiguration übereinstimmen
Wenn der Client nicht mit einer Clientkonfiguration übereinstimmt, kann er die Einstellung "Cookie akzeptieren" nicht verwenden, da sie in einer Clientkonfiguration enthalten ist, sodass die Cookie-Authentifizierung mit "leerem Kennwort" fehlschlägt
Der Kunde wird darauf hingewiesen, dass er eine zusätzliche Anfrage (getconfig_csc.esp) senden muss, die die erforderlichen Daten für die Geräte-/benutzerdefinierten Prüfungen enthält
Dies ist jedoch nach dem Stadium, in dem das Cookie authentifiziert ist

In einem Benutzeranmeldeszenario kann sich der Endbenutzer mit Benutzername und Kennwort authentifizieren, sodass das Cookie nicht funktioniert, der Client jedoch auch keinen Fehler ausgibt. Dieser Fehler tritt beim Debuggen des ssl-vpn-Prozesses auf.

Wenn für die Voranmeldung ein Zertifikatprofil im Portal konfiguriert ist, kann sich der Benutzer vor der Anmeldung mit einem Computerzertifikat authentifizieren, ohne dass ein Fehler auftritt.Dieser Fehler kann auch beim Debuggen des ssl-vpn-Prozesses auftreten.

Wenn für das Portal kein Zertifikatsprofil konfiguriert ist, kann der Benutzer vor der Anmeldung kein Computerzertifikat verwenden, und das in diesem Dokument beschriebene Cookie-Problem führt zu einem Fehler, der besagt, dass "auth-failed-password-empty" angezeigt wird.

Dies ist eine Einschränkung des aktuellen Entwurfs und wird dokumentiert, wenn ein Commit mit dieser Art von Konfiguration ausgeführt wird.

Portal config 'agent1': Authentication Override and Config Seletcion Criteria -> Device Checks/Custom Checks are both configured, Authentication Override will be disabled.

Resolution

Wenn Geräteprüfungen oder benutzerdefinierte Prüfungen verwendet werden, wird ein Zertifikatsprofil im Portal empfohlen.

Additional Information

Wenn sowohl Geräteprüfungen als auch benutzerdefinierte Prüfungen konfiguriert sind, wird die Authentifizierungsüberschreibung deaktiviert und die Cookie-Authentifizierung wird nicht akzeptiert.

Wenn eine Cookie-Authentifizierung erforderlich ist, können Geräteprüfungen/benutzerdefinierte Prüfungen nicht konfiguriert werden.

Dieses Problem kann sich sowohl auf die Benutzeranmeldung als auch auf die Voranmeldung auswirken, aber in der Regel werden Auswirkungen nur bei der Voranmeldekonfiguration nur mit Authentifizierungscookies (keine Clientzertifikatauthentifizierung) angezeigt.