GlobalProtect 当使用 Cookie 身份验证配置设备检查或自定义检查时,预登录失败并显示“auth-failed-password-empty”

GlobalProtect 当使用 Cookie 身份验证配置设备检查或自定义检查时,预登录失败并显示“auth-failed-password-empty”

22494
Created On 06/17/22 10:13 AM - Last Modified 07/24/25 02:04 AM


Symptom


  • GlobalProtect 预登录失败并显示“auth-failed-password-empty”
  • 在 PanGPS.log 中看到以下错误
(P3084-T4508)Debug(14033): 06/07/22 07:46:26:872 Auth failed. Private header is auth-failed-password-empty

Environment


  • GlobalProtect 门户网站
  • 用于配置选择标准的设备检查或自定义检查
  • 配置身份验证覆盖 Cookie
  • 预登录和用户登录
  • 未配置客户端证书身份验证
  • GlobalProtect App 5.1及以上
  • PAN-OS 9.1及以上

Cause


这是一个“先有鸡还是先有蛋”的限制,是由登录和配置选择标准检查的逻辑顺序造成的。
  • 登录阶段(获取配置.esp ) 在哪GlobalProtect将检查客户端是否需要设备/自定义检查信息
  • 客户端在Login阶段没有发送这个信息,所以还没有匹配到config
  • 门户网站上的“接受 Cookie”设置是在客户端配置的配置选择标准中配置的
  • 因为客户端还没有发送Device/Custom Check信息,无法匹配Client Config
  • 如果客户端与客户端配置不匹配,则无法使用客户端配置中包含的“接受 Cookie”设置,因此 Cookie 身份验证失败并显示“空密码”
  • 客户端被通知需要发送额外的请求( getconfig_csc.esp ) 其中包含设备/自定义检查的必要数据
  • 但这已经过了验证 Cookie 的阶段
在一个用户登录场景最终用户将能够使用用户名和密码进行身份验证,因此 cookie 将不起作用,但也不会给客户端一个错误。 调试ssl-vpn进程时可以看到这个错误。

为了登录前,如果在门户上配置了证书配置文件,则登录前用户将能够使用机器证书进行身份验证,而不会因错误而失败。调试ssl-vpn进程也会出现这个错误。

如果门户没有配置证书配置文件,预登录用户将无法使用机器证书,并且本文档中描述的 cookie 问题将产生错误,指出“auth-failed-password-empty”。

这是当前设计的局限性,并在使用此类配置执行提交时记录在案。
Portal config 'agent1': Authentication Override and Config Seletcion Criteria -> Device Checks/Custom Checks are both configured, Authentication Override will be disabled.
图片.png

 

Resolution


如果正在使用设备检查或自定义检查,建议在门户上使用证书配置文件。

Additional Information


如果同时配置了设备检查/自定义检查,则身份验证覆盖将被禁用并且 Cookie 身份验证将不被接受。

如果需要 Cookie 身份验证,则无法配置设备检查/自定义检查。

此问题会影响用户登录和预登录,但通常只会影响仅使用身份验证 Cookie 的登录前配置(无客户端证书身份验证)。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkiPCAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language