Verbindung zu GlobalProtect ist fehlerbehaftet mit Fehler "Matching Client config nicht gefunden"
281628
Created On 04/16/19 13:47 PM - Last Modified 10/08/24 20:15 PM
Symptom
- GlobalProtect konfiguriert auf der firewall
- Wenn Sie sich mit einem Webbrowser beim Portal anmelden, ist die GlobalProtect Authentifizierung erfolgreich
- Gemäß den Systemprotokollen ist die Authentifizierung beim Portal und Gateway erfolgreich. Schlägt jedoch GlobalProtect mit dem folgenden Fehler fehl
Systemprotokolle:
Environment
GlobalProtect Portal und Gateway mit User/UserGroup-Konfigurationsauswahlkriterien konfiguriert
Cause
Dies kann passieren, wenn GlobalProtect Gateway mit Benutzer/Benutzergruppe konfiguriert ist und der vom Client verwendete Benutzername nicht in der Liste aufgeführt ist oder der Benutzername nicht in der Mitgliederliste der Active Directory-Gruppe aufgeführt ist, die unter Benutzer/Benutzergruppe hinzugefügt wurde.
- Benutzer-/Benutzergruppe kann konfiguriert werden, indem Sie zu Network > GlobalProtect > Gatewaynavigieren, klicken Sie auf die Registerkarte Gatewayname > Agent > Clienteinstellungen > Config Selection Criteria.
- Manchmal wird dieses Problem angezeigt, wenn der gelernte Benutzername GlobalProtect nicht mit dem Benutzernamenformat in der Gruppenzuordnungstabelle übereinstimmt.
Resolution
Schritt 1: Stellen Sie sicher, dass der Benutzername, den der Client herstellen möchte, in der Gruppe Benutzer/Benutzer hinzugefügt wird.
Schritt 2: Wenn der Benutzer Mitglied einer AD Gruppe ist, stellen Sie sicher, dass die AD Gruppe in der Gruppe Benutzer/Benutzer hinzugefügt wird.
Schritt 3: Wenn der Benutzername oder die AD Gruppe bereits hinzugefügt wurde, müssen Sie möglicherweise auch die Konfiguration "Domänenbenutzer" in den Einstellungen für die Benutzerzuordnung s-Gruppe ID und das Authentifizierungsprofil aktivieren.
Zum Beispielversucht der Benutzer, eine Verbindung mit dem GlobalProtect Benutzernamen gpuserherzustellen.
Wenn die GlobalProtect Benutzer-/Benutzergruppe des Gateways mit einer Gruppe konfiguriert ist AD (z. B. cn=it_operations,cn=users,dc=pandomain,dc=com), überprüfen Sie die Ausgabe des folgenden Befehls:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] pandomain\gpuser [2 ] pandomain\alex [3 ] pandomain\paloaltouser
In diesem Fall stimmt der Benutzername gpuser in der Gruppenzuordnungstabelle nicht mit dem pandomain-gpuser überein. Durch das Konfigurieren von "Benutzerdomäne" mit pandomain im Authentifizierungsprofil wird das Problem behoben.
Additional Information
Weitere Informationen finden Sie hier in einem Artikel:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK