即使用户处于筛选组中, 身份验证也失败, 用户不在允许列表中

问题

当身份验证配置文件具有特定筛选组时, GlobalProtect 和/或固定门户用户将失败身份验证。用户似乎位于组成 "允许" 列表的组中。但是, 仍会出现 "用户不在允许列表" 中的消息。如果允许列表被更改为 "全部" 而不是特定组, 则用户可以进行良好的身份验证。

解决办法

如果设备以前配置为多 vsys 设备, 则会发生这种情况。如果在那时, 身份验证配置文件被创建为 "共享" 身份验证配置文件, 这将很好地工作。当设备配置更改为单个 vsys 设备时, 身份验证配置文件可能仍然是 "共享" 配置文件 (但与单个 vsys)。设备无法再读取 "共享" 身份验证配置文件。

故障排除时, 运行以下 CLI 命令以显示用户是组的一部分:

>> 显示用户组名称<name></name>

当在身份验证配置文件的菜单中引用此组时, 用户将无法进行身份验证。要解决此问题, 请创建一个不共享且 vsys 特定的身份验证配置文件。然后, 身份验证配置文件将正确地读取组, 并且身份验证将正常工作, 因为用户作为组的一部分被读取。

所有者︰ sjamaluddin