Incidencia
Los usuarios de GlobalProtect y/o portal cautivo fallan en la autenticación cuando el perfil de autenticación tiene grupos filtrados específicos. Los usuarios parecen estar en el grupo que constituye la lista de allow. Sin embargo, el mensaje "usuario no en la lista de permitir" todavía aparece. Si la lista permitir se cambia para tener "todos" en lugar de grupos específicos, el usuario autentica bien.
Resolución
Esto sucede donde el dispositivo pudo haber sido configurado previamente como dispositivo multi-vsys. Si, en ese momento, el perfil de autenticación se creó como un perfil de autenticación "compartido", esto funcionaría bien. Cuando la configuración del dispositivo cambia a ser un único dispositivo vsys, el perfil de autenticación puede seguir siendo un perfil "compartido" (pero con el único vsys). El dispositivo ya no puede leer el perfil de autenticación "compartido".
Al solucionar problemas, ejecute el siguiente comando CLI para mostrar que los usuarios forman parte del Grupo:
> Mostrar nombre de grupo de usuarios<name></name>
Cuando se hace referencia a este grupo en el menú del perfil de autenticación, el usuario omite la autenticación. Para evitar este problema, cree un perfil de autenticación que no se comparta y sea vsys específico. A continuación, el perfil de autenticación Lee los grupos correctamente y la autenticación funciona correctamente, ya que los usuarios se leen como parte del grupo.
Propietario: sjamaluddin