ユーザーがフィルター処理されたグループにいるにもかかわらず、許可リストにないユーザーで認証が失敗する

問題

認証プロファイルに特定のフィルタされたグループがある場合、GlobalProtect またはキャプティブポータルユーザーは認証に失敗します。ユーザーは、許可リストを構成するグループ内にあるように見えます。ただし、「許可リストにないユーザー」というメッセージはまだ表示されます。許可リストが特定のグループではなく "all" を持つように変更された場合、ユーザーは正常に認証されます。

解決方法

これは、デバイスが以前にマルチ vsys デバイスとして構成されている可能性がある場合に発生します。その時点で、認証プロファイルが "共有" 認証プロファイルとして作成された場合、これは正常に動作します。デバイス構成が単一の vsys デバイスに変更されると、認証プロファイルは依然として "共有" プロファイルになります (ただし、単一の vsys が使用されます)。デバイスは、"共有" 認証プロファイルを読み取ることができなくなりました。

トラブルシューティングを行う場合は、次の CLI コマンドを実行して、ユーザーがグループの一部であることを示します。

> ユーザーグループ名の表示<name></name>

このグループが認証プロファイルのメニューで参照されている場合、ユーザーは認証に失敗します。この問題を回避するには、共有されていない vsys 特定の認証プロファイルを作成します。認証プロファイルはグループを正しく読み取り、ユーザーがグループの一部として読み取られるため、認証は正しく動作します。

所有者: sjamaluddin