許可リストでグループを使用すると、GlobalProtect ログインが失敗する

問題

グローバル保護が使用する認証プロファイルの "許可リスト" でグループを使用すると、ログイン試行は次のエラーで失敗します。"理由: ユーザーが allowlist にありません"

ただし、認証プロファイルで許可リストが "all" に設定されている場合、ログインは正常に動作します。

解決方法

1. 使用しているグループが、[デバイス] > [ユーザー id] > [グループマッピングの設定] の [グループマッピングの構成] の [インクルード] リストにあることを確認します。
   
   
   
2. 問題のグループにログインしようとしているユーザーが含まれていることを確認します。
   CLI コマンドの実行:ユーザー・グループ名<value>
   
   の表示例:
   > ユーザー・グループ名の表示 pantac\vpn-user
   短い名前: pantac\vpn-user
   ソースの種類: ldap
   ソース: Pantac2003
   
   [1] pantac\user1
   [2] pantac\admin1
   [3] pantac \管理者
   [4] pantac\user2
   [5]
   
   pantac\user4 </value>
3. グループマッピングおよびグローバル保護認証プロファイルに使用される LDAP サーバプロファイルに、ドメインフィールドに Netbios ドメイン名 (短い名前) が含まれていることを確認します。ほとんどの場合、これは同じプロファイルであるため、ドメイン (domainname.com) に DNS 名を使用しないでください。これは、多くの場合、空白のままにすることもできます。
   
   ldap サーバプロファイルは、[デバイス] > [サーバプロファイル] > [ldap (
   
   pan-os 7.0)] の下で、[ドメイン] セクションが [デバイス] > [ユーザー id] > [グループマッピング設定] に移動されました: ユーザードメイン
   は、pan-os 8.0 でも制御できます。認証プロファイルの認証プロファイルのユーザードメイン 
4. グローバル保護認証プロファイルの許可一覧のグループ名が、グループの長い名前で表示されていることを確認します。この値は、"ユーザーグループリストの表示" CLI コマンドの出力からこの値に貼り付けることができます。
   認証プロファイル許可一覧

所有者: jteestel