Connexion à GlobalProtect est à défaut avec erreur « Correspondant client config pas trouvé »

Connexion à GlobalProtect est à défaut avec erreur « Correspondant client config pas trouvé »

241010
Created On 04/16/19 13:47 PM - Last Modified 03/22/24 20:14 PM


Symptom


  • GlobalProtect configuré sur le firewall
  • Lorsque vous vous connectez au portail GlobalProtect à l’aide d’un navigateur Web, l’authentification est réussie
  • Par les journaux système, l’authentification du portail et de la passerelle est réussie; toutefois, échoue GlobalProtect avec l’erreur ci-dessous
Image ajoutée par l'utilisateur

Journaux système:
Image ajoutée par l'utilisateur

Environment


GlobalProtect portail et passerelle configurés avec les critères de sélection de config Utilisateur/UserGroup

Cause


Cela peut se produire lorsque GlobalProtect la passerelle est configurée avec le groupe utilisateur/utilisateur, et que le nom d’utilisateur utilisé par le client n’est pas sur la liste ou que le nom d’utilisateur ne se trouve pas sur la liste des membres du groupe d’annuaire actif ajouté sous le groupe Utilisateur/Utilisateur.
  • Le groupe utilisateur/utilisateur peut être configuré en naviguant vers network > GlobalProtect > Gateway,cliquez sur le nom de passerelle > Agent > Paramètres clients > onglet Critères de sélection Config.
  • Parfois, ce problème est vu lorsque le nom d’utilisateur appris via GlobalProtect ne correspond pas au format nom d’utilisateur dans la table de cartographie de groupe.

Resolution


Étape 1: Assurez-vous que le nom d’utilisateur que le client essaie de connecter est ajouté dans le groupe Utilisateur/Utilisateur.
Étape 2: Si l’utilisateur est membre d’un AD groupe, assurez-vous que AD le groupe est ajouté dans le groupe Utilisateur/Utilisateur.
Étape 3 : Si le nom d’utilisateur ou le groupe est déjà ajouté, vous AD devrez peut-être également vérifier le config « Utilisateur de domaine » dans les paramètres de cartographie ID utilisateur-groupe et le profil d’authentification.

Par exemple,l’utilisateur essaie de se connecter à GlobalProtect avec gpuser nom d’utilisateur.

Si le GlobalProtect groupe utilisateur/utilisateur de la passerelle est configuré avec AD un groupe (disons cn=it_operations,cn=users,dc=pandomain,dc=com), vérifiez la sortie de la commande ci-dessous :
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com

source type: service
source:      AD_Group_Mapping_al.com
[1     ] pandomain\gpuser
[2     ] pandomain\alex
[3     ] pandomain\paloaltouser

Dans ce cas, gpuser nom d’utilisateur ne correspondra pas pandomain \gpuser dans la table de cartographie de groupe. Configurer « Domaine utilisateur » avec pandomain dans le profil d’authentification corrigera le problème.
 

Additional Information


Pour plus d’informations, voici quelques articles de référence :
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLc9CAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language