GlobalProtect デバイス チェックまたはカスタム チェックが Cookie 認証で設定されている場合、「auth-failed-password-empty」でログオン前に失敗する
22478
Created On 06/17/22 10:13 AM - Last Modified 07/24/25 02:04 AM
Symptom
- GlobalProtect ログオン前が「auth-failed-password-empty」で失敗する
- PanGPS.log に次のエラーが表示されます。
(P3084-T4508)Debug(14033): 06/07/22 07:46:26:872 Auth failed. Private header is auth-failed-password-empty
Environment
- GlobalProtect ポータル
- 構成選択基準に使用されるデバイス チェックまたはカスタム チェック
- 認証オーバーライド Cookie が構成されている
- ログオン前とユーザー ログオンの両方
- クライアント証明書認証が構成されていません
- GlobalProtect App 5.1以上
- PAN-OS 9.1以上
Cause
これは「ニワトリと卵」スタイルの制限であり、ログインと構成選択基準チェックの論理的な順序によって引き起こされます。
- ログイン段階 ( getconfig.esp ) はどこですかGlobalProtectクライアントからのデバイス/カスタム チェック情報が必要かどうかを確認します
- クライアントはログイン段階でこの情報を送信しないため、まだ一致する構成はありません
- ポータルの「Cookie を受け入れる」設定は、クライアント構成の構成選択基準内で構成されます。
- クライアントはまだデバイス/カスタム チェック情報を送信していないため、クライアント構成と一致しません
- クライアントがクライアント構成と一致しない場合、クライアント構成に含まれる「Cookie を受け入れる」設定を使用できないため、Cookie 認証は「空のパスワード」で失敗します。
- クライアントは、追加のリクエストを送信する必要があることが通知されます ( getconfig_csc.esp ) デバイス/カスタム チェックに必要なデータが含まれています。
- しかし、これはCookieが認証される段階を過ぎています
ためにログオン前、ポータルで証明書プロファイルが構成されている場合、ログオン前のユーザーはマシン証明書を使用して認証でき、エラーで失敗することはありません。このエラーは、ssl-vpn プロセスのデバッグ時にも発生する可能性があります。
ポータルに証明書プロファイルが構成されていない場合、ログオン前のユーザーはマシン証明書を使用できず、このドキュメントで説明されている Cookie の問題により、「auth-failed-password-empty」というエラーが生成されます。
これは現在の設計の制限であり、この種の構成でコミットを実行すると文書化されます。
Portal config 'agent1': Authentication Override and Config Seletcion Criteria -> Device Checks/Custom Checks are both configured, Authentication Override will be disabled.
Resolution
デバイス チェックまたはカスタム チェックが使用されている場合は、ポータルの証明書プロファイルが推奨されます。
Additional Information
デバイス チェックとカスタム チェックの両方が構成されている場合、認証オーバーライドは無効になり、Cookie 認証は受け入れられません。
Cookie認証が必要な場合、デバイスチェック/カスタムチェックは設定できません。
この問題はユーザー ログオンとログオン前に影響する可能性がありますが、通常、影響は認証 Cookie のみを使用したログオン前構成 (クライアント証明書認証なし) でのみ見られます。