连接到 GlobalProtect 错误失败"未授权连接到 GlobalProtect 门户"
168287
Created On 04/08/19 14:10 PM - Last Modified 03/26/21 17:35 PM
Symptom
- GlobalProtect 配置在 Firewall 。
- 使用 Web GP 浏览器登录门户时,身份验证是成功的。
- 当尝试通过客户端进行连接时 GlobalProtect ,它以错误"未授权连接到 GlobalProtect 门户"失败
系统日志:
Environment
使用用户/用户组配置选择标准配置的全球保护门户和网关。
Cause
- 当 Portal GlobalProtect 与 用户/用户组 一起配置时,可能会发生这种情况,而客户端尝试连接的用户名不在列表中,或者用户名不在 AD 用户/用户组下添加的组成员列表中。
- 用户/用户组可以通过导航到网络 GlobalProtect >>门户,单击门户名称>代理 > 单击代理配置> 配置选择标准选项卡进行配置。
- 有时,当通过学习的用户名与 GlobalProtect 组映射表中的用户名格式不匹配时,就会看到此问题。
Resolution
- 请确保在用户/用户组中添加客户端正在尝试连接的用户名。
- 如果用户是 AD 组的成员,请确保 AD 将组添加到用户/用户组中。
- 如果已添加用户名或 AD 组,则可能需要进一步检查用户 ID 组映射设置和身份验证配置文件中的"域名用户"配置。
例如,用户正在尝试连接到 GP 使用用户名 gpuser。
如果 GP 门户的用户/用户组配置为 AD 组(让我们说 cn=it_operations,cn=用户,dc=潘多曼,dc=com),请检查以下命令的输出:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com
source type: service
source: AD_Group_Mapping_al.com
[1 ] pandomain\gpuser
[2 ] pandomain\alex
[3 ] pandomain\paloaltouser在这种情况下,用户名 gpuser 在组映射表中将不匹配泛域网\gpuser。 在身份验证配置文件中将"用户域"与泛域网配置将解决此问题。
以下是一些有参考意义的文章
:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK
Additional Information
以下命令供参考:
show user group list
show user group name "Group_Name"
show user user-ids match-user <username>