Problèmes communs avec GlobalProtect

Question commune 1

Les utilisateurs peuvent démarrer la connexion du portail GlobalProtect, mais rien d'autre ne se produit.

Résolution des problèmes

• À l'occasion, le client/agent GlobalProtect peut devoir être téléchargé à nouveau sur l'appareil après s'être assuré que toutes les instances précédentes ont été supprimées.
• La collecte et l'examen des entrées de journal peuvent déterminer où la connexion peut être défaillante. A partir de ces journaux, il est possible de savoir si l'authentification a fonctionné comme prévu, ou si les paramètres d'Authentification doivent être ajustés. Il est recommandé de collecter les journaux du client GlobalProtect pour voir à quel stade l'erreur s'est produite. Les journaux peuvent être collectés sous: Dépannage > logs > log = PanGP service et Debug Level = Debug
  
  
• Sur le pare-feu, la queue des journaux suivants est nécessaire lorsqu'une tentative est effectuée à partir de l'utilisateur GlobalProtect:
  • queue suivre Oui Web-Server-log sslvpn-Access. log
  • suivre la queue Oui MP-log authd. log

• Exécutez la commande suivante pour vérifier les utilisateurs actuels:

> montrer global-protéger-passerelle courant-utilisateur

Question commune 2

L'Authentification fonctionne pour le portail GlobalProtect mais échoue sur la passerelle GlobalProtect.

Résolution des problèmes

• Au moment de l'authentification sur le portail, les informations d'identification de l'utilisateur sont transmises du portail vers la passerelle. Si le portail et la passerelle sont configurés avec la même méthode d'Authentification, ce problème ne se produit pas.
• Si la passerelle est configurée pour un autre type d'Authentification, il est important que l'authentification de passerelle ait le même nom d'utilisateur que le nom d'utilisateur utilisé dans l'authentification du portail. Si les informations d'identification transmises depuis le portail vers la passerelle ne sont pas reconnues par la passerelle, l'utilisateur sera invité à entrer le mot de passe à nouveau.
  Important! Il n'est pas possible de fournir un autre nom d'utilisateur, il est donc important d'avoir le même nom d'utilisateur dans les deux méthodes d'Authentification.
• Pour l'authentification à deux facteurs (RSA SecureID par exemple), en plus de LDAP (ou RADIUS), l'authentification LDAP/RADIUS doit être configurée pour l'étape du portail. Les utilisateurs seront d'abord invités à se connecter avec leur nom d'utilisateur de domaine et mot de passe, puis contesté à nouveau (par la passerelle) pour entrer le mot de passe d'utilisation unique affiché sur le RSA Secure ID. Encore une fois, l'hypothèse est que le nom d'utilisateur sera le même que celui utilisé sur le portail GlobalProtect et GlobalProtect Gateway Authentication.

propriétaire : sjamaluddin