Verbindung zu GlobalProtect schlägt mit dem Fehler "Sie sind nicht berechtigt, eine Verbindung mit Portal GlobalProtect herzustellen" fehl.

Verbindung zu GlobalProtect schlägt mit dem Fehler "Sie sind nicht berechtigt, eine Verbindung mit Portal GlobalProtect herzustellen" fehl.

168323
Created On 04/08/19 14:10 PM - Last Modified 03/26/21 17:35 PM


Symptom


  • GlobalProtect konfiguriert auf der Firewall .
  • Wenn Sie sich mit Web-Browser bei Portal anmelden, ist die GP Authentifizierung erfolgreich.
  • Wenn Sie versuchen, eine Verbindung über den GlobalProtect Client herzustellen, schlägt die stritt mit der Fehlermeldung "Sie sind nicht berechtigt, eine Verbindung mit GlobalProtect Portal herzustellen"

        Benutzeriertes Bild

Systemprotokolle:

        Benutzeriertes Bild

Environment


Global Protect Portal und Gateway mit User/UserGroup Config Selection Criteria konfiguriert.

Cause


  • Dies kann passieren, wenn GlobalProtect Portal mit Benutzer/Benutzergruppe konfiguriert ist und der Benutzername, mit dem der Client eine Verbindung herstellen möchte, nicht in der Liste enthalten ist oder der Benutzername nicht in der Mitgliederliste der Gruppe enthalten ist, die AD unter Benutzer/Benutzergruppe hinzugefügt wird.
  • Benutzer-/Benutzergruppe kann konfiguriert werden, indem Sie zu Netzwerk > > Portal GlobalProtect navigieren, klicken Sie auf den Portalnamen> Agent > Klicken Sie auf die Registerkarte Agent Config> Config Selection Criteria.
  • Manchmal wird dieses Problem angezeigt, wenn der gelernte Benutzername GlobalProtect nicht mit dem Benutzernamenformat in der Gruppenzuordnungstabelle übereinstimmt.

Resolution


  1. Stellen Sie sicher, dass der Benutzername, mit dem der Client eine Verbindung herstellen möchte, in der Benutzer-/Benutzergruppe hinzugefügt wird.
  2. Wenn der Benutzer Mitglied einer AD Gruppe ist, stellen Sie sicher, dass die AD Gruppe in der Benutzer-/Benutzergruppe hinzugefügt wird.
  3. Wenn der Benutzername oder die Gruppe bereits hinzugefügt wurde, müssen Sie möglicherweise die Konfiguration "Domänenbenutzer" in den Einstellungen für die AD ID Benutzergruppenzuordnung und das Authentifizierungsprofil weiter überprüfen.

Zum Beispiel, Der Benutzer versucht, eine Verbindung GP mit dem Benutzernamen gpuserherzustellen.
Wenn die GP Benutzer-/Benutzergruppe des Portals mit einer Gruppe konfiguriert ist AD (z. B. cn=it_operations,cn=users,dc=pandomain,dc=com), überprüfen Sie die Ausgabe des folgenden Befehls:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com

source type: service
source:      AD_Group_Mapping_al.com
[1     ] pandomain\gpuser
[2     ] pandomain\alex
[3     ] pandomain\paloaltouser
In diesem Fall stimmt der Benutzername gpuser in der Gruppenzuordnungstabelle nicht mit dem pandomain-gpuser überein.
Wenn Sie "Benutzerdomäne" mit pandomain im Authentifizierungsprofil konfigurieren, wird das Problem behoben.

Hier ein Artikel als Referenz:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK

Additional Information


Unten Befehl als Referenz:
show user group list

show user group name "Group_Name"

show user user-ids match-user <username>


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSOCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language