连接到 GlobalProtect 错误失败"未找到匹配客户端配置"
241008
Created On 04/16/19 13:47 PM - Last Modified 03/22/24 20:14 PM
Symptom
- GlobalProtect 配置在 firewall
- GlobalProtect使用 Web 浏览器登录门户时,身份验证是成功的
- 根据系统日志,对门户和网关的认证是成功的:但是, GlobalProtect 以下错误失败
系统日志:
Environment
GlobalProtect 与用户/用户组配置的门户和网关配置配置选择标准
Cause
当 GlobalProtect 网关与用户/用户组一起配置时可能发生这种情况,而客户端使用的用户名不在列表中,或者用户名不在用户/用户组下添加的活动目录组的成员列表中。
- 用户/用户组可以通过导航到 网络 GlobalProtect >> 网关,单击 网关名称> 代理 >客户端设置 > 配置选择标准 选项卡。
- 有时,当通过学习的用户名与 GlobalProtect 组映射表中的用户名格式不匹配时,就会看到此问题。
Resolution
第 1 步: 请确保在用户/用户组中添加客户端正在尝试连接的用户名。
第 2 步: 如果用户是 AD 组的成员,请确保 AD 将组添加到用户/用户组中。
第 3 步: 如果已添加用户名或 AD 组,您可能需要检查 用户 ID 组映射 设置和身份验证配置文件中的"域名用户"配置。
例如,用户正在尝试 GlobalProtect 连接到用户名 gpuser。
如果 GlobalProtect 网关的用户/用户组配置为 AD 组(让我们说 cn=it_operations,cn=用户,dc=潘多曼,dc=com),请检查以下命令的输出:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] pandomain\gpuser [2 ] pandomain\alex [3 ] pandomain\paloaltouser
在这种情况下,用户名 gpuser 在组映射表中将不匹配泛域网\gpuser。 在身份验证配置文件中配置"用户域"和泛域网将解决此问题。
Additional Information
有关其他信息,以下是一些供参考的文章
:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK