Échec de la connexion GlobalProtect lors de l'Utilisation d'un groupe dans la liste autoriser

Échec de la connexion GlobalProtect lors de l'Utilisation d'un groupe dans la liste autoriser

113951
Created On 09/25/18 20:36 PM - Last Modified 09/03/23 05:48 AM


Resolution


Demande client

Lors de l'utilisation d'un groupe dans la «liste autorisée» pour le profil d'Authentification utilisé par Global Protect, la tentative de connexion échoue avec l'erreur suivante: «raison: l'Utilisateur n'est pas dans allowlist»

 

Toutefois, la connexion fonctionne très bien si la liste d'autoriser est définie sur «tous» dans le profil d'Authentification.

 

Résolution

  1. Vérifiez que le groupe que vous utilisez se trouve dans la liste inclure dans une configuration de mappage de groupe sous Device > identification de l'Utilisateur > paramètres de mappage de groupe:
    Group Mapping. pngmappage

    de groupe
  2. Confirmez que le groupe en question contient l'utilisateur qui tente de se connecter.
    Exécutez la commande CLI: afficher le nom <value>

    du groupe d'utilisateurs par exemple:
    > Show nom du groupe d'utilisateurs pantac\vpn-user
    nom court: pantac\vpn-user
    source type: LDAP
    source: Pantac2003

    [1] pantac\user1
    [2] pantac\admin1
    [3] pantac \ administrateur
    [4] pantac\user2
    [5] pantac\user4

    </value>
  3. Vérifiez que le profil de serveur LDAP utilisé pour votre mappage de groupe et votre profil d'Authentification de protection globale contiennent le nom de domaine NetBIOS (nom court) dans le champ domaine. N'utilisez pas le nom DNS du domaine (domainname.com) dans la plupart des cas, il s'agit du même profil. Cela peut également être laissé en blanc dans de nombreux cas.

    Le profil du serveur LDAP est sous Device > Server profils > LDAP
    Compte serveur LDAP. png
    dans Pan-OS 7,0 et ultérieur, la section Domain a été déplacée vers Device > identification de l'utilisateur > paramètres de mappage de groupe: Domain. png utilisateurdomaine utilisateur
    dans Pan-OS 8,0 le domaine utilisateur peut également être contrôlé dans le Authentication Profile. pngDomaine utilisateur du profil d'Authentification dans le profil d'Authentification  
  4. Vérifiez que le nom du groupe dans la liste autoriser du profil d'Authentification global Protect est répertorié avec le nom long du groupe. Cette valeur peut être collée dans cette valeur à partir de la sortie de la commande CLI "afficher la liste des groupes d'utilisateurs".
    Authentification autoriser List. pngListe des profils d'Authentification autorisés

 

propriétaire: jteestel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClizCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language