Problem
GlobalProtect und/oder Gefangene Portal Benutzer Versagen die Authentifizierung, wenn das Authentifizierungs Profil bestimmte gefilterte Gruppen hat. Die Nutzer scheinen in der Gruppe zu sein, die die Allow-Liste ausmacht. Die Meldung "Benutzer nicht in der Allow-Liste" erscheint jedoch noch. Wenn die Allow-Liste geändert wird, um "alle" zu haben, anstatt bestimmte Gruppen, authentifiziert der Benutzer Fine.
Lösung
Dies geschieht dort, wo das Gerät zuvor als Multi-Vsys-Gerät konfiguriert worden sein könnte. Wenn zu diesem Zeitpunkt das Authentifizierungs Profil als "geteiltes" Authentifizierungs Profil erstellt wurde, würde das gut funktionieren. Wenn sich die Gerätekonfiguration zu einem einzigen Vsys-Gerät ändert, kann das Authentifizierungs Profil noch ein "geteiltes" Profil sein (aber mit dem einzelnen Vsys). Das Gerät ist nicht mehr in der Lage, das "geteilte" Authentifizierungs Profil zu lesen.
Bei der Fehlerbehebung führen Sie den folgenden CLI-Befehl aus, um zu zeigen, dass die Benutzer Teil der Gruppe sind:
> Benutzergruppen Name anzeigen<name></name>
Wenn diese Gruppe im Menü für das Authentifizierungs Profil referenziert wird, scheitert der Benutzer an der Authentifizierung. Um dieses Problem zu umgehen, erstellen Sie ein Authentifizierungs Profil, das nicht geteilt wird und Vsys-spezifisch ist. Das Authentifizierungs Profil liest dann die Gruppen korrekt und die Authentifizierung funktioniert korrekt, da die Benutzer als Teil der Gruppe gelesen werden.
Besitzer: Sjamaluddin