在允许列表中使用组时 GlobalProtect 登录失败

问题

当在全局保护使用的身份验证配置文件的 "允许列表" 中使用组时, 登录尝试失败, 出现以下错误: "原因: 用户不在 allowlist"

但是, 如果允许列表设置为身份验证配置文件中的 "全部", 则登录效果很好。

解决办法

1. 确认正在使用的组位于 "设备 > 用户标识" 下的组映射配置中的 "包含" 列表中:
   组映射
   
   设置
2. 确认所涉组中包含试图登录的用户。
   运行 CLI 命令:显示用户组名称<value>
   
   例如:
   >> 显示用户组名称 pantac \ vpn-用户
   短名称: pantac \ vpn-用户
   源类型: ldap
   来源: Pantac2003
   
   [1] pantac\user1
   [2] pantac\admin1
   [3] pantac \管理员
   [4] pantac\user2
   [5] pantac\user4
   
   </value>
3. 确认用于组映射和全局保护身份验证配置文件的 LDAP 服务器配置文件包含域字段中的 Netbios 域名 (简称)。在大多数情况下, 不要使用域的 DNS 名称 (domainname.com), 这是相同的配置文件。在许多情况下, 这也可以留空。
   
   ldap 服务器配置文件位于设备 > 服务器配置文件 > ldap
   
   7.0 和更高版本中, 域部分被移动到设备 >> 用户标识 > 组映射设置:
   泛型 OS 8.0 中的用户域也可以控制在身份验证配置文件中的身份验证配置文件用户域 
4. 确认全局保护身份验证配置文件中的 "允许" 列表中的组名称列出的是组的长名称。此值可以从 "显示用户组列表" CLI 命令的输出中粘贴到该值中。
   身份验证配置文件允许列表

所有者: jteestel