GlobalProtect 常见问题

常见问题1

用户可以启动 GlobalProtect 门户登录, 但没有其他情况发生。

疑难解答

• 有时, 在确保所有以前的实例都被删除后, GlobalProtect 客户端/代理可能需要再次下载到设备上。
• 收集和检查日志条目可以确定连接可能在哪里失败。从这些日志中可以判断身份验证是否按预期工作, 或者是否需要调整身份验证设置。建议从 GlobalProtect 客户端收集日志, 以查看发生错误的阶段。日志可在以下内容中收集: 疑难解答 > 日志 > 记录 = PanGP 服务和调试级别 = 调试
  
  
• 在防火墙上, 当尝试从 GlobalProtect 用户进行时, 需要跟踪以下日志:
  • 跟踪是 web 服务器日志 sslvpn 访问. 日志
  • 尾巴跟随是 mp-日志 authd.log

• 执行以下命令以检查当前用户:

> 显示全球保护通道的当前用户

常见问题2

身份验证适用于 GlobalProtect 门户, 但在 GlobalProtect 网关上失败。

疑难解答

• 在门户上进行身份验证时, 用户凭据将从门户传递到网关。如果门户和网关都配置了相同的身份验证方法, 则不会发生此问题。
• 如果网关是为其他类型的身份验证配置的, 则网关身份验证与门户身份验证中使用的用户名的名称相同很重要。如果网关无法识别从门户传递到网关的凭据, 则会提示用户再次输入密码。
  重要！无法提供其他用户名, 因此在两种身份验证方法中具有相同的用户名非常重要.
• 对于双因素身份验证 (例如 RSA SecureID), 除了 ldap (或 radius) 外, 还应为门户阶段配置 ldap/RADIUS 身份验证。用户将首先被提示使用他们的域用户名和密码登录, 然后再次挑战 (通过网关), 以输入在 RSA 安全 ID 上显示的一次性使用密码。同样的假设是, 用户名将与在 GlobalProtect 门户和 GlobalProtect 网关身份验证上使用的相同。

所有者︰ sjamaluddin