Échec de la connexion GlobalProtect lors de l'Utilisation d'un groupe dans la liste autoriser
Échec de la connexion GlobalProtect lors de l'Utilisation d'un groupe dans la liste autoriser
113951
Created On 09/25/18 20:36 PM - Last Modified 09/03/23 05:48 AM
Resolution
Demande client
Lors de l'utilisation d'un groupe dans la «liste autorisée» pour le profil d'Authentification utilisé par Global Protect, la tentative de connexion échoue avec l'erreur suivante: «raison: l'Utilisateur n'est pas dans allowlist»
Toutefois, la connexion fonctionne très bien si la liste d'autoriser est définie sur «tous» dans le profil d'Authentification.
Résolution
Vérifiez que le groupe que vous utilisez se trouve dans la liste inclure dans une configuration de mappage de groupe sous Device > identification de l'Utilisateur > paramètres de mappage de groupe: mappage
de groupe
Confirmez que le groupe en question contient l'utilisateur qui tente de se connecter. Exécutez la commande CLI: afficher le nom <value>
du groupe d'utilisateurs par exemple: > Show nom du groupe d'utilisateurs pantac\vpn-user nom court: pantac\vpn-user source type: LDAP source: Pantac2003
Vérifiez que le profil de serveur LDAP utilisé pour votre mappage de groupe et votre profil d'Authentification de protection globale contiennent le nom de domaine NetBIOS (nom court) dans le champ domaine. N'utilisez pas le nom DNS du domaine (domainname.com) dans la plupart des cas, il s'agit du même profil. Cela peut également être laissé en blanc dans de nombreux cas.
Le profil du serveur LDAP est sous Device > Server profils > LDAP
dans Pan-OS 7,0 et ultérieur, la section Domain a été déplacée vers Device > identification de l'utilisateur > paramètres de mappage de groupe: domaine utilisateur dans Pan-OS 8,0 le domaine utilisateur peut également être contrôlé dans le Domaine utilisateur du profil d'Authentification dans le profil d'Authentification
Vérifiez que le nom du groupe dans la liste autoriser du profil d'Authentification global Protect est répertorié avec le nom long du groupe. Cette valeur peut être collée dans cette valeur à partir de la sortie de la commande CLI "afficher la liste des groupes d'utilisateurs". Liste des profils d'Authentification autorisés