Connexion à GlobalProtect échoue avec l’erreur « Vous n’êtes pas autorisé à se connecter à GlobalProtect Portal »
192988
Created On 04/08/19 14:10 PM - Last Modified 03/26/21 17:35 PM
Symptom
- GlobalProtect configuré sur le Firewall .
- Lorsque vous vous connectez à GP Portal à l’aide du Navigateur Web, l’authentification est réussie.
- Lorsque vous essayez de vous connecter via GlobalProtect le client, il échoue par erreur « Vous n’êtes pas autorisé à vous connecter à GlobalProtect Portal »
Journaux système:
Environment
Global Protect Portal et Gateway configurés avec les critères de sélection de Config User/UserGroup.
Cause
- Cela peut se produire lorsque GlobalProtect Portal est configuré avec User/User Group et que le nom d’utilisateur à l’aide duquel le client essaie de se connecter n’est pas dans la liste ou que le nom d’utilisateur n’est pas dans la liste des membres du Groupe ajouté sous AD User/User Group.
- Le groupe utilisateur/utilisateur peut être configuré en naviguant vers le portail > > réseau, cliquez sur le nom du GlobalProtect portail> agent > Cliquez sur l’onglet Mandat Config> Critères de sélection Config.
- Parfois, ce problème est vu lorsque le nom d’utilisateur appris via GlobalProtect ne correspond pas au format de nom d’utilisateur dans la table de cartographie de groupe.
Resolution
- Assurez-vous que le nom d’utilisateur à l’aide duquel le client essaie de se connecter est ajouté dans le groupe utilisateur/utilisateur.
- Si l’utilisateur est membre d’un AD groupe, assurez-vous que AD le groupe est ajouté dans le groupe utilisateur/utilisateur.
- Si le nom d’utilisateur ou AD le groupe est déjà ajouté, vous devrez peut-être vérifier davantage le config « Utilisateur de domaine » dans les paramètres de cartographie du groupe ID d’utilisateurs et le profil d’authentification.
Par exemple, L’utilisateur essaie de se connecter à GP l’utilisation gpuser nom d’utilisateur.
Si le GP groupe utilisateur/utilisateur du Portail est configuré avec AD un groupe (disons cn=it_operations,cn=users,dc=pandomain,dc=com), vérifiez la sortie de la commande ci-dessous :
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com
source type: service
source: AD_Group_Mapping_al.com
[1 ] pandomain\gpuser
[2 ] pandomain\alex
[3 ] pandomain\paloaltouser
Dans ce cas, gpuser nom d’utilisateur ne correspondra pas pandomain \gpuser dans la table de cartographie de groupe. Configurer « Domaine utilisateur » avec pandomain dans le profil d’authentification corrigera le problème.
Voici quelques articles à titre de référence :
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK
Additional Information
Ci-dessous la commande pour référence:
show user group list
show user group name "Group_Name"
show user user-ids match-user <username>