接続 GlobalProtect が失敗し、エラー"一致するクライアント構成が見つかりません"
281628
Created On 04/16/19 13:47 PM - Last Modified 10/08/24 20:15 PM
Symptom
- GlobalProtect で構成 firewall
- Web ブラウザーを GlobalProtect 使用してポータルにログインすると、認証が成功します。
- システム ログに従って、ポータルおよびゲートウェイへの認証は成功します。ただし、 GlobalProtect 以下のエラーで失敗します
システム ログ:
Environment
GlobalProtect ユーザー/ユーザーグループ構成選択基準で構成されたポータルおよびゲートウェイ
Cause
これは GlobalProtect 、ゲートウェイが User/User グループで構成されており、クライアントが使用しているユーザー名がリストにないか、ユーザー名がユーザー/ユーザー グループの下に追加された Active Directory グループのメンバー リストにない場合に発生する可能性があります。
- [ネットワーク> > ゲートウェイ] に移動してユーザー/ユーザー グループを構成するには GlobalProtect 、[ゲートウェイ名] > [クライアント>クライアント設定] タブ> [構成の選択条件]タブをクリックします。
- この問題は、ユーザーが使用したユーザー名 GlobalProtect がグループ マッピング テーブルのユーザー名の形式と一致しない場合に発生することがあります。
Resolution
ステップ1:クライアントが接続しようとしているユーザー名がユーザー/ユーザー グループに追加されていることを確認します。
ステップ2:ユーザーがグループのメンバーである場合は AD 、 AD グループがユーザー/ユーザー グループに追加されていることを確認します。
ステップ 3:ユーザ名または AD グループが既に追加されている場合は、ユーザ - ID グループマッピング設定と認証プロファイルで「ドメインユーザ」設定も確認する必要があります。
たとえば、ユーザーは GlobalProtect ユーザー名gpuserで接続しようとしています。
GlobalProtectゲートウェイのユーザー/ユーザーグループがグループで設定されている場合 AD (cn=it_operations、cn=users,dc=pandomain,dc=com と言える)、以下のコマンドの出力を確認してください。
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] pandomain\gpuser [2 ] pandomain\alex [3 ] pandomain\paloaltouser
この場合、ユーザー名 gpuser はグループ マッピング テーブルの pandomain\gpuser と一致しません。 認証プロファイルで「ユーザードメイン」をパンドメインで設定すると、問題が解決します。
Additional Information
詳細については、次の資料に参照情報を記載 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
ttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK