Error en la conexión GlobalProtect con error "No se encuentra la configuración del cliente coincidente"
281630
Created On 04/16/19 13:47 PM - Last Modified 10/08/24 20:15 PM
Symptom
- GlobalProtect configurado en el firewall
- Al iniciar sesión en GlobalProtect el portal mediante un explorador web, la autenticación se realiza correctamente
- Según los registros del sistema, la autenticación en el portal y la puerta de enlace se realiza correctamente; sin embargo, GlobalProtect falla con el siguiente error
Registros del sistema:
Environment
GlobalProtect portal y puerta de enlace configurados con criterios de selección de configuración user/usergroup
Cause
Esto podría suceder cuando GlobalProtect la puerta de enlace está configurada con el grupo usuario/usuario, y el nombre de usuario utilizado por el cliente no está en la lista o el nombre de usuario no está en la lista de miembros del grupo de Active Directory agregado en el grupo usuario/usuario.
- El grupo usuario/usuario se puede configurar navegando a la puerta de enlace de > de red > , haga clic en el nombre de puerta GlobalProtect de enlace > agente > configuración de cliente > la pestaña Criterios de selección de configuración.
- A veces este problema se ve cuando el nombre de usuario aprendido vía GlobalProtect no coincide con el formato de nombre de usuario en la tabla de asignación de grupos.
Resolution
Paso 1: Aseegurese el nombre de usuario que el cliente está intentando conectar se agrega en el grupo del usuario/usuario.
Paso 2: Si el usuario es miembro de un AD grupo, asegúrese de que el AD grupo se agrega en el grupo Usuario/Usuario.
Paso 3: Si el nombre de usuario o AD el grupo ya está agregado, es posible que también deba marcar la configuración del "usuario del dominio" en la configuración de asignación ID de grupos de usuarios y el perfil de autenticación.
Por ejemplo,el usuario está intentando conectarse GlobalProtect con el nombre de usuario gpuser.
Si el GlobalProtect grupo usuario/usuario del gateway está configurado con un AD grupo (diga cn=it_operations,cn=users,dc=pandomain,dc=com), marque la salida del siguiente comando:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] pandomain\gpuser [2 ] pandomain\alex [3 ] pandomain\paloaltouser
En este caso, el gpuser de nombre de usuario no coincidirá con pandomain\gpuser en la tabla de asignación de grupos. La configuración de "Dominio de usuario" con pandominio en perfil de autenticación solucionará el problema.
Additional Information
Para obtener más información, aquí hay algún artículo de referencia:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK