Möglichkeit, auf KEXT statt auf SE macOS Catalina 10.15.4+ mit GlobalProtect 5.2.5-H1+ zurückzufallen

14163

Created On 03/17/21 18:11 PM - Last Modified 01/14/25 02:00 AM

Symptom

Fallback auf Kernel-Erweiterung sende-Option auf Catalina Systems 10.15.4 und höher :

Dieser Artikel soll dem Kunden die Möglichkeit bieten, weiterhin Kernel-Erweiterungen in macOS Catalina 10.15.4 und höher zu verwenden. Aufgrund von Apple-Fehlern, die in Big Sur behoben werden, oder von app Drittanbieter-Fehlern (nicht an das neue Apple-Framework angepasst), können Kunden auf die Verwendung zurückgreifen, wenn sie nicht in der KEXT Lage sind, nach Big Sur zu wechseln oder den Anbieter von Drittanbieter-Apps dazu zu drängen, sich an das neue Framework anzupassen.

Kunden können auf Catalina bleiben, aber konfigurieren GlobalProtect KernalExtensions auf 5.2.5 HF und höher Builds verwenden, im Gegensatz zur GlobalProtect standardmäßigen Verwendung von SystemExtensions für Kunden, die Enforce Globalprotect für Netzwerkzugriff und Split-Tunneling-Funktionen verwenden.

Environment

GlobalProtect App Version 5.1.4+ bis 5.2.5
Catalina Version 10.15.4 +

Cause

Mit GP 5.1.4 und höher , Globalprotect begann nur Systemerweiterungen auf Catalina 10.15.4 und höher zu verwenden. Viele Kunden stoßen bei der Verwendung von Systemextension auf Probleme mit Split-Tunneling und Enforcer und anderen Problemen wie Kernalpanik.

Bitte werfen Sie einen Blick auf diesen Link, um das Nebenproblem zu verstehen, wenn Sie die Systemerweiterung verwenden, und konfigurieren Sie die Domäne ausschließen, die mehrere Anwendungen einfrieren oder fehlerbehaftet auf macOS Catalina 10.15.x.

https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE

GlobalProtect	SystemExtensions	KernelExtensions	Split-Tunnel nach Domäne.	Split-Tunnel von app	Split-Tunnel nach Zufahrtsrouten	Kommentare
5.1.4 und höher	✓		Chrome X. Safari Firefox Kante X.	✓	✓	Hinweis: Chrome funktioniert teilweise mit Clients, die häufig ERR_*-Nachrichten sehen, wenn die Umleitung stattfindet (Aktualisierung kann das Problem beheben) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5.2.X	✓		Chrome X. Safari Firefox Kante X.	✓	✓	Hinweis: Chrome funktioniert teilweise mit Clients, die häufig ERR_*-Nachrichten sehen, wenn die Umleitung stattfindet (Aktualisierung kann das Problem beheben) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5.2.5 HF und höher		✓	Chrome Safari X. Firefox Kante	✓	✓	1-Microsoft Teams funktioniert nicht für Split-Tunnel nach Domäne, App die Webkit verwendet, ist nicht kompatibel mit Kernel-Erweiterungen. 2-Kernel-Erweiterung mit Safari-Problem. Dieses Problem wird noch mit dem Apple-Team untersucht. Hinweis: Nur diese beiden Einschränkungen zu sehen, wenn wir die Split-Tunnel-Domäne/Anwendung (Include- oder Exclude-Liste) verwendet haben, gibt es für den vollständigen Tunnel keine Einschränkung. Kernel Panikprobleme wurden bei der Verwendung von Kernel-Erweiterungen auf 5.2.5 auf Catalina nicht HF beobachtet.

Resolution

Fallback auf Kernel-Erweiterung Option ist die vorgeschlagene Auflösung, wenn der Kunde bereits auf der neuesten GP Version und Catalina und kann nicht auf Big Sur aktualisieren.

Um auf KernalExtension zurückfallen zu können, müssen wir die plist-Datei auf der Anwendung bearbeiten Globalprotect und dann auf Version Globalprotect 5.2.5Hot fix und höher aktualisieren.

Bitte beachten Sie, dass Sie über Root-Berechtigungen verfügen müssen, um den Sockel zu ändern.

1. Bearbeitung des Plist :

Wir müssen <key>UseKextAnyway</key> in die vorab bereitgestellte .plist-Datei (/Library/Preferences/com.paloaltonetworks. . GlobalProtect settings.plist).

Vom Terminal können Sie den Schlüssel hinzufügen, indem Sie:

> cd /Library/Preferences/
> vi com.paloaltonetworks.GlobalProtect.settings.plist

adding these 2 line under the setting :

<key>UseKextAnyway</key>
<integer>1</integer>

save the changes.

You can run these command for checking the changes:

>defaults read com.paloaltonetworks.GlobalProtect.settings.plist

Sie können diesen Befehl auch zum Ändern der plist ausführen:

plutil -insert "Palo Alto Networks".GlobalProtect.Settings.UseKextAnyway -integer 1 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist

Sie können auch zum Anwendungsordner navigieren, > Globalprotect > Rechtsklicken Sie auf die app Und wählen Sie die Option "Paketinhalte anzeigen" im Kontextmenü aus.

Im Ordner, der geöffnet wird, wird ein Ordner Inhalt angezeigt. Öffnen Sie es und innen, sollte es mindestens eine Plist-Datei namens info.plist Sie rechts klicken können, und fügen Sie den neuen Schlüssel in der Datei.
<key>UseKextAnyway</key>
<integer></integer>

1

Hier ist das Beispiel von plist :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Palo Alto Networks</key>
	<dict>
		<key>GlobalProtect</key>
		<dict>
			<key>Settings</key>
			<dict>
				<key>UseKextAnyway</key>
				<integer>1</integer>
			</dict>
		</dict>
	</dict>
</dict>
</plist>

Hinweis: Sie können auch eine andere Option zum Ändern der Plist-ähnlichen JAMF und anderer MACOS Verwaltungstools verwenden.

2. Upgrade auf 5.2.5hf und höher :

Nach Abschluss der Installation und Überprüfung der Verbindung zum Gateway können Sie diesen Befehl Globalprotect ausführen, um zu überprüfen, ob wir die Kernal-Erweiterung verwenden:

ser1@user1s-Mac-3 Preferences % kextstat -l | grep 'palo'                     

  158    0 0xffffff7f82c02000 0x4000     0x4000     com.paloaltonetworks.kext.pangpd (5.2.5f84) 6445D143-37E4-3DCD-95DE-62588A81A4D1 <6 5 3 1>

Gibt es besondere Überlegungen bei der Bereitstellung dieser Änderung, um kernelExtensions anstelle von SystemExtensions zu verwenden?

Der neue Schlüssel muss vor der Installation oder Aktualisierung bereitgestellt GP werden.
Wenn sie bereits installiert ist und systemExtensions aktiviert sind, deinstallieren Sie die GlobalProtect Anwendung, und stellen Sie den neuen Schlüssel für das kext-Fallback vorab bereit. Andernfalls sehen Sie ein Log in PanGPS.log wie

“PanGPS set to explicitly use kext. However system extension is enabled already. Please contact your administrator.”

Der neue Schlüssel wird nur in der neuen Version erkannt und wirksam GP (5.2.5 HF +).
Es wird nicht auf macOS Big Sur wirksam. Das bedeutet, wenn Sie macOS später auf Big Sur aktualisieren, GP wird Systemextension auf Big Sur verwenden.

Additional Information

Wie Sie zurück wechseln, um Systemerweiterungen später zu verwenden, müssen Sie:

Entfernen des neuen Schlüssels aus .plist first
Dann Neustart GP

Awieder irgendwelche Vorbehalte gegen die Verwendung von kernelExtensions auf Catalina (etwas, das Apple nicht empfiehlt)?

Die kext-Version unterstützt keine FQDN basierten Enforcer-Ausnahmen und DNS Split-Funktionen.
Wenn die Systemerweiterungen bereits aktiviert wurden, müssen Sie zuerst deinstallieren, GP um den neuen Schlüssel zum Aktivieren von kext zu verwenden. Andernfalls wird ein Protokoll in PanGPS angezeigt.log wie "PanGPS so eingestellt, dass kext explizit verwendet wird. Die Systemerweiterung ist jedoch bereits aktiviert. Wenden Sie sich an Ihren Administrator."

Gibt es eine Einschränkung für Domain / app Split-Tunneling-Funktion, wenn wir die kext-Version verwenden ?

Bei allen Include/Exclude-Domänen, auf die über Safari zugegriffen wird, kann es zu Problemen vorkommen. Also, es wäre ratsam, andere Browser wie Chrome zu verwenden. Firefox usw.
app die Webkit (natives macOS-Framework) verwendet, kann ein Problem mit Kernelerweiterungen (Webkit-Beispiele, Safari, Microsoft Teams) haben.