「 GlobalProtect ポータルへの接続が許可されていません」というエラーで接続が失敗しています GlobalProtect
207163
Created On 04/08/19 14:10 PM - Last Modified 03/26/21 17:35 PM
Symptom
- GlobalProtect で構成されます Firewall 。
- GPWeb ブラウザを使用してポータルにログインすると、認証は成功します。
- クライアント経由で接続しようとすると GlobalProtect 、「ポータルへの接続が許可されていません」というエラーで失敗します GlobalProtect 。
システム ログ:
Environment
ユーザー/ユーザー グループ構成選択基準で構成されたグローバル保護ポータルおよびゲートウェイ。
Cause
- これは、 GlobalProtect ポータルが ユーザー/ユーザー・グループ で構成されており、クライアントが接続しようとしているユーザー名がリストにないか、ユーザー名が AD ユーザー/ユーザー・グループの下に追加されたグループのメンバー・リストにない場合に発生する可能性があります。
- ユーザー/ユーザー・グループは GlobalProtect 、ネットワーク・>>ポータルに移動し、ポータル名をクリック>エージェント>[構成>構成選択基準]タブをクリックして構成できます。
- この問題は、ユーザー名が GlobalProtect グループマッピングテーブルのユーザー名の形式と一致しない場合に発生することがあります。
Resolution
- クライアントが接続しようとしているユーザー名がユーザー/ユーザーグループに追加されていることを確認します。
- ユーザーがグループのメンバーである場合 AD は、 AD グループがユーザー/ユーザーグループに追加されていることを確認します。
- ユーザ名または AD グループが既に追加されている場合は、ユーザ ID グループ マッピング設定と認証プロファイルで[ドメイン ユーザ]設定を確認する必要があります。
たとえば、ユーザーは GP 、ユーザー名gpuserを使用してに接続しようとしています。
GPポータルのユーザー/ユーザー グループがグループで設定されている場合 AD (cn=it_operations,cn=users,dc=pandomain,dc=com と言う)、以下のコマンドの出力を確認してください。
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com
source type: service
source: AD_Group_Mapping_al.com
[1 ] pandomain\gpuser
[2 ] pandomain\alex
[3 ] pandomain\paloaltouserこの場合、ユーザー名 gpuser はグループ マッピング テーブルの pandomain\gpuser と一致しません。 認証プロファイルで「ユーザードメイン」をパンドメインで設定すると、問題が解決します。
参考資料は次の
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK
Additional Information
参考用のコマンドは以下の通りです。
show user group list
show user group name "Group_Name"
show user user-ids match-user <username>