GlobalProtect La pré-ouverture de session échoue avec « auth-failed-password-empty » lorsque les vérifications de périphérique ou les vérifications personnalisées sont configurées avec l’authentification par cookie
22537
Created On 06/17/22 10:13 AM - Last Modified 07/24/25 02:04 AM
Symptom
- GlobalProtect La pré-ouverture de session échoue avec « auth-failed-password-empty »
- L’erreur suivante s’affiche dans PanGPS .log
(P3084-T4508)Debug(14033): 06/07/22 07:46:26:872 Auth failed. Private header is auth-failed-password-empty
Environment
- GlobalProtect Portail
- Vérifications des périphériques ou vérifications personnalisées utilisées pour les critères de sélection de configuration
- Cookie de remplacement d’authentification configuré
- Pré-ouverture de session et ouverture de session utilisateur
- L’authentification par certificat client n’est pas configurée
- GlobalProtect App 5.1 et versions ultérieures
- PAN-OS 9.1 et versions ultérieures
Cause
Il s’agit d’une limitation de style « poule et œuf » causée par l’ordre logique des vérifications de connexion et des critères de sélection de configuration.
- L’étape de connexion (getconfig.esp) est l’endroit où GlobalProtect vérifiera si les informations de vérification de périphérique / personnalisée sont nécessaires du client
- Le client n’envoie pas ces informations à l’étape de connexion, donc aucune configuration n’est encore mise en correspondance
- Le paramètre « Accepter le cookie » sur le portail est configuré dans les critères de sélection de configuration d’une configuration client
- Étant donné que le client n’a pas encore envoyé les informations de vérification de périphérique/personnalisée, il ne peut pas correspondre à la configuration du client
- Si le client ne correspond pas à une configuration client, il ne peut pas utiliser le paramètre « Accepter le cookie » avec est contenu dans une configuration client, donc l'authentification des cookies échoue avec « mot de passe vide »
- Le client est informé qu’il devra envoyer une demande supplémentaire (getconfig_csc.esp) contenant les données nécessaires pour les vérifications de l’appareil/personnalisées
- Mais cela a dépassé le stade où le cookie est authentifié
ssl-vpn. Pour la pré-ouverture de session, si un profil de certificat est configuré sur le portail, l’utilisateur de pré-ouverture de session pourra s’authentifier à l’aide d’un certificat d’ordinateur et ne pas échouer avec une erreur.Cette erreur peut également être vue lors du débogage du processus
ssl-vpn. Si aucun profil de certificat n’est configuré sur le portail, l’utilisateur de pré-ouverture de session ne pourra pas utiliser de certificat d’ordinateur et le problème de cookie décrit dans ce document produira une erreur indiquant que « auth-failed-password-empty ».
Il s’agit d’une limitation de la conception actuelle qui est documentée lors de l’exécution d’une validation avec ce type de configuration.
Portal config 'agent1': Authentication Override and Config Seletcion Criteria -> Device Checks/Custom Checks are both configured, Authentication Override will be disabled.
Resolution
Si des vérifications d’appareil ou des vérifications personnalisées sont utilisées, un profil de certificat sur le portail est conseillé.
Additional Information
Si les vérifications de l’appareil/les vérifications personnalisées sont toutes deux configurées, le remplacement de l’authentification sera désactivé et l’authentification par cookie ne sera pas acceptée.
Si l’authentification par cookie est requise, les vérifications de l’appareil/la vérification personnalisée ne peuvent pas être configurées.
Ce problème peut affecter l’ouverture de session utilisateur ainsi que la pré-ouverture de session, mais l’impact ne sera généralement visible que pour la configuration de pré-ouverture de session à l’aide de cookies d’authentification uniquement (aucune authentification de certificat client).