GlobalProtect inicio de sesión falla al utilizar un grupo en la lista permitir

GlobalProtect inicio de sesión falla al utilizar un grupo en la lista permitir

113963
Created On 09/25/18 20:36 PM - Last Modified 09/03/23 05:48 AM


Resolution


Incidencia

Cuando se utiliza un grupo en la "lista permitir" para el perfil de autenticación que utiliza global Protect, el intento de inicio de sesión falla con el siguiente error: "razón: el usuario no está en AllowList"

 

Sin embargo, el inicio de sesión funciona bien si la lista permitir está establecida en "All" en el perfil de autenticación.

 

Resolución

  1. Confirme que el grupo que está utilizando está en la lista incluir de una configuración de asignación de grupo en dispositivo > identificación del usuario > configuración de asignación de Grupo:
    Mapping de grupos. pngasignación

    de grupos
  2. Confirme que el grupo en cuestión contiene al usuario que intenta iniciar sesión.
    Ejecute el comando CLI: Mostrar nombre de grupo <value>

    de usuario por ejemplo:
    > Mostrar nombre de grupo de usuario pantac\vpn-User
    nombre abreviado: pantac\vpn-User tipo de fuente:
    LDAP
    Fuente: Pantac2003

    [1] pantac\user1
    [2] pantac\admin1
    [3] pantac \ administrador
    [4] pantac\user2
    [5] pantac\user4

    </value>
  3. Confirme que el perfil de servidor LDAP utilizado para la asignación de grupo y el perfil de autenticación de protección global contengan el nombre de dominio NetBIOS (nombre corto) en el campo dominio. No utilice el nombre DNS para el dominio (domainname.com) en la mayoría de los casos este es el mismo perfil. Esto también se puede dejar en blanco en muchos casos.

    El perfil del servidor LDAP está en el dispositivo > perfiles de servidor > LDAP
    LDAP Server account. png
    en pan-os 7,0 y más tarde, la sección de dominio se trasladó a dispositivo > identificación del usuario > configuración de asignación de Grupo: Domain. png del usuariodominio
    de usuario en pan-OS 8,0 el dominio de usuario también se puede controlar en el Authentication Profile. pngDominio de usuario de Perfil de autenticación en el perfil de autenticación  
  4. Confirme que el nombre de grupo en la lista permitir del perfil de autenticación global Protect se muestra con el nombre largo del grupo. Este valor se puede pegar en este valor desde la salida del comando CLI "Mostrar lista de grupos de usuarios".
    La autenticación permite List. pngPerfil de autenticación permitir lista

 

Propietario: jteestel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClizCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language