GlobalProtect Login scheitert, wenn Sie eine Gruppe in der Allow-Liste verwenden

GlobalProtect Login scheitert, wenn Sie eine Gruppe in der Allow-Liste verwenden

113933
Created On 09/25/18 20:36 PM - Last Modified 09/03/23 05:48 AM


Resolution


Problem

Bei der Verwendung einer Gruppe in der "Allow-Liste" für das Authentifizierungs Profil, das Global Protect verwendet, scheitert der Login-Versuch mit folgendem Fehler: "Grund: der Benutzer ist nicht in der AllowList"

 

AllerDings funktioniert das Login gut, wenn die Allow-Liste auf "alle" im Authentifizierungs Profil gesetzt ist.

 

Lösung

  1. Bestätigen Sie, dass die Gruppe, die Sie verwenden, in der Include-Liste in einer Gruppen-Mapping-Konfiguration unter Gerät > BenutzerIdentifikation > Gruppen-Mapping-Einstellungen:
    Group Mapping. pngGruppen-Mapping

  2. Bestätigen Sie, dass die betreffende Gruppe den Benutzer enthält, der versucht, sich anzumelden.
    Führen Sie den CLI-Befehl aus: zeigen Sie zum Beispiel den Namen der Benutzergruppe <value>

    an:
    > Benutzergruppe Name pantac\vpn-User
    Kurzname: pantac\vpn-User
    Source Type: LDAP
    Source: Pantac2003

    [1] pantac\user1
    [2] pantac\admin1
    [3] pantac \ Administrator
    [4] pantac\user2
    [5] pantac\user4

    </value>
  3. Bestätigen Sie, dass das LDAP-Serverprofil, das für Ihre Gruppen-Kartierung verwendet wird, und ihr globales Protect-Authentifizierungs Profil den NetBIOS-Domain-Namen (Kurzname) im Domain-Feld enthalten. Verwenden Sie nicht den DNS-Namen für die Domain (Domainname.com) in den meisten Fällen ist dies das gleiche Profil. Das kann man auch in vielen Fällen leer lassen.

    Das LDAP-Server-Profil befindet sich unter Device > Server-Profilen > LDAP
    LDAP Server Account. png
    in Pan-OS 7,0 und später wurde der Domain-Bereich auf das Gerät > benutzerIdentifikation > Gruppen-Mapping-Einstellungen verschoben: User Domain. pngUser
    -Domain in Pan-OS 8,0 die Benutzer Domäne kann auch in der Authentifizierungs ProfilAuthentifizierungs Profil. pngBenutzer Domäne im Authentifizierungs Profil  
  4. Bestätigen Sie, dass der Name der Gruppe in der Allow-Liste im globalen Protect-Authentifizierungs Profil mit dem langen Namen der Gruppe aufgelistet ist. Dieser Wert kann in diesen Wert aus der Ausgabe des "Benutzergruppen Liste" CLI-Befehls eingefügt werden.
    Authentifizierung erlaubt Liste. pngAuthentifizierungs Profil erlauben Liste

 

Besitzer: jteestel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClizCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language