Connexion à GlobalProtect est à défaut avec erreur « Correspondant client config pas trouvé »
281628
Created On 04/16/19 13:47 PM - Last Modified 10/08/24 20:15 PM
Symptom
- GlobalProtect configuré sur le firewall
- Lorsque vous vous connectez au portail GlobalProtect à l’aide d’un navigateur Web, l’authentification est réussie
- Par les journaux système, l’authentification du portail et de la passerelle est réussie; toutefois, échoue GlobalProtect avec l’erreur ci-dessous
Journaux système:
Environment
GlobalProtect portail et passerelle configurés avec les critères de sélection de config Utilisateur/UserGroup
Cause
Cela peut se produire lorsque GlobalProtect la passerelle est configurée avec le groupe utilisateur/utilisateur, et que le nom d’utilisateur utilisé par le client n’est pas sur la liste ou que le nom d’utilisateur ne se trouve pas sur la liste des membres du groupe d’annuaire actif ajouté sous le groupe Utilisateur/Utilisateur.
- Le groupe utilisateur/utilisateur peut être configuré en naviguant vers network > GlobalProtect > Gateway,cliquez sur le nom de passerelle > Agent > Paramètres clients > onglet Critères de sélection Config.
- Parfois, ce problème est vu lorsque le nom d’utilisateur appris via GlobalProtect ne correspond pas au format nom d’utilisateur dans la table de cartographie de groupe.
Resolution
Étape 1: Assurez-vous que le nom d’utilisateur que le client essaie de connecter est ajouté dans le groupe Utilisateur/Utilisateur.
Étape 2: Si l’utilisateur est membre d’un AD groupe, assurez-vous que AD le groupe est ajouté dans le groupe Utilisateur/Utilisateur.
Étape 3 : Si le nom d’utilisateur ou le groupe est déjà ajouté, vous AD devrez peut-être également vérifier le config « Utilisateur de domaine » dans les paramètres de cartographie ID utilisateur-groupe et le profil d’authentification.
Par exemple,l’utilisateur essaie de se connecter à GlobalProtect avec gpuser nom d’utilisateur.
Si le GlobalProtect groupe utilisateur/utilisateur de la passerelle est configuré avec AD un groupe (disons cn=it_operations,cn=users,dc=pandomain,dc=com), vérifiez la sortie de la commande ci-dessous :
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] pandomain\gpuser [2 ] pandomain\alex [3 ] pandomain\paloaltouser
Dans ce cas, gpuser nom d’utilisateur ne correspondra pas pandomain \gpuser dans la table de cartographie de groupe. Configurer « Domaine utilisateur » avec pandomain dans le profil d’authentification corrigera le problème.
Additional Information
Pour plus d’informations, voici quelques articles de référence :
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK