GlobalProtect Se produce un error antes del inicio de sesión con "auth-failed-password-empty" cuando las comprobaciones de dispositivos o las comprobaciones personalizadas están configuradas con autenticación de cookies
22531
Created On 06/17/22 10:13 AM - Last Modified 07/24/25 02:04 AM
Symptom
- GlobalProtect Se produce un error antes del inicio de sesión con "auth-failed-password-empty"
- El siguiente error se ve en PanGPS.log
(P3084-T4508)Debug(14033): 06/07/22 07:46:26:872 Auth failed. Private header is auth-failed-password-empty
Environment
- GlobalProtect Portal
- Comprobaciones de dispositivos o comprobaciones personalizadas utilizadas para los criterios de selección de configuración
- Cookie de anulación de autenticación configurada
- Tanto antes del inicio de sesión como el inicio de sesión del usuario
- La autenticación de certificados de cliente no está configurada
- GlobalProtect App 5.1 y superior
- PAN-OS 9.1 y superior
Cause
Esta es una limitación de estilo "huevo y gallina" causada por el orden lógico de inicio de sesión y las comprobaciones de criterios de selección de configuración.
- La etapa de inicio de sesión (getconfig.esp) es donde GlobalProtect verificará si se necesita información de verificación personalizada / dispositivo del cliente
- El cliente no envía esta información en la etapa de inicio de sesión, por lo que aún no se ha emparejado ninguna configuración
- La configuración "Aceptar cookie" en el Portal se configura dentro de los Criterios de selección de configuración de una configuración de cliente
- Dado que el cliente aún no ha enviado la información de comprobación personalizada o de dispositivo, no puede coincidir con la configuración del cliente
- Si el cliente no coincide con una configuración de cliente, no puede usar la configuración "Aceptar cookie" con está contenida en una configuración de cliente, por lo que la autenticación de cookies falla con "contraseña vacía"
- Se notifica al cliente que deberá enviar una solicitud adicional (getconfig_csc.esp) que contiene los datos necesarios para las comprobaciones personalizadas / del dispositivo
- Pero esto ha pasado la etapa en la que se autentica la cookie
Para el inicio de sesión previo, si se configura un perfil de certificado en el portal, el usuario previo al inicio de sesión podrá autenticarse mediante un certificado de equipo y no producir un error.Este error también se puede ver al depurar el proceso ssl-vpn.
Si el Portal no tiene un perfil de certificado configurado, el usuario previo al inicio de sesión no podrá utilizar un certificado de equipo, y el problema de cookies descrito en este documento producirá un error que indica que "auth-failed-password-empty".
Esta es una limitación del diseño actual y se documenta al realizar una confirmación con este tipo de configuración.
Portal config 'agent1': Authentication Override and Config Seletcion Criteria -> Device Checks/Custom Checks are both configured, Authentication Override will be disabled.
Resolution
Si se utilizan comprobaciones de dispositivos o comprobaciones personalizadas, se recomienda un perfil de certificado en el portal.
Additional Information
Si ambas comprobaciones de dispositivo/comprobaciones personalizadas están configuradas, se deshabilitará la anulación de autenticación y no se aceptará la autenticación de cookies.
Si se requiere autenticación de cookies, no se pueden configurar las comprobaciones de dispositivos/comprobaciones personalizadas.
Este problema puede afectar tanto al inicio de sesión del usuario como al inicio de sesión previo, pero normalmente el impacto solo se verá para la configuración previa al inicio de sesión utilizando solo cookies de autenticación (sin autenticación de certificado de cliente).