Capacidad para retroceder KEXT en lugar de en SE macOS Catalina 10.15.4+ con GlobalProtect 5.2.5-H1+

14231

Created On 03/17/21 18:11 PM - Last Modified 01/14/25 02:00 AM

Symptom

Opción de reserva a extensión del kernel en Catalina Systems 10.15.4 y superior :

Este artículo debe proporcionar una opción al cliente para seguir utilizando extensiones de kernel en macOS Catalina 10.15.4 y superiores. Debido a errores de Apple que se corrigen en Big Sur o errores de 3ª parte app (no adaptados al nuevo marco de Apple), es posible que los clientes quieran volver a usar KEXT si no son capaces de moverse a Big Sur o empujar al proveedor de aplicaciones de 3ª parte para adaptarse al nuevo marco.

Los clientes podrían permanecer en Catalina, pero configurar GlobalProtect para usar KernalExtensions en compilaciones 5.2.5 HF y superiores, en lugar de usar GlobalProtect SystemExtensions de forma predeterminada para los clientes que utilizan Enforce Globalprotect para el acceso a la red y capacidades de túnel dividido.

Environment

GlobalProtect App Versión 5.1.4+ hasta 5.2.5
Catalina versión 10.15.4 +

Cause

Con GP 5.1.4 y versiones posteriores, Globalprotect comenzó a utilizar sólo extensiones del Sistema en Catalina 10.15.4 y superior. Muchos clientes están teniendo problemas en la tunelización dividida y el ejecutor y otros problemas como el pánico kernal cuando se utiliza la extensión del sistema.

Por favor, eche un vistazo a este enlace para entender el problema secundario cuando se utiliza la extensión del sistema y configurar excluir dominio varias aplicaciones se congelan o se produce un error en macOS Catalina 10.15.x.

https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE

GlobalProtect	SystemExtensions	KernelExtensions	Túnel dividido por dominio.	Túnel dividido por app	Túnel dividido por rutas de acceso	Comentarios
5.1.4 y superior	✓		Cromo X. Safari │ Firefox │ Borde X.	✓	✓	Nota: Chrome funciona parcialmente con los clientes que a menudo ven mensajes ERR_* cuando se produce la redirección (la actualización puede resolver el problema) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5,2.X	✓		Cromo X. Safari │ Firefox │ Borde X.	✓	✓	Nota: Chrome funciona parcialmente con los clientes que a menudo ven mensajes ERR_* cuando se produce la redirección (la actualización puede resolver el problema) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5.2.5 HF y superior		✓	Cromo │ Safari X. Firefox │ Edge │	✓	✓	1-Microsoft Teams no funciona para el túnel dividido por dominio, App que utiliza webkit no es compatible con las extensiones del kernel. Extensión de 2 núcleos con problema safari. Este asunto aún está siendo investigado con el equipo de Apple. Nota: Viendo solamente esas dos limitaciones cuando usamos el dominio/aplicación del túnel dividido ( incluir o excluir lista), para el túnel completo no hay ninguna limitación. Los problemas de pánico del kernel no se observaron con el uso de extensiones de kernel en 5.2.5 HF en Catalina.

Resolution

La opción Volver a la extensión del kernel es la resolución sugerida si el cliente ya está en la GP última versión y Catalina y no puede actualizar a Big Sur.

Para volver a KernalExtension, necesitamos editar el archivo plist en la Globalprotect aplicación y luego actualizar a la versión Globalprotect 5.2.5Hot fix y posterior .

Tenga en cuenta que necesita tener privilegios de raíz para cambiar la lista.

1. Edición de la lista P:

Necesitamos agregar <key>UseKextAnyway</key> en el archivo .plist pre-implementado (/Library/Preferences/com.paloaltonetworks. GlobalProtect . settings.plist).

Desde el terminal puede añadir la clave siguiendo:

> cd /Library/Preferences/
> vi com.paloaltonetworks.GlobalProtect.settings.plist

adding these 2 line under the setting :

<key>UseKextAnyway</key>
<integer>1</integer>

save the changes.

You can run these command for checking the changes:

>defaults read com.paloaltonetworks.GlobalProtect.settings.plist

También puede ejecutar este comando para cambiar el plist:

plutil -insert "Palo Alto Networks".GlobalProtect.Settings.UseKextAnyway -integer 1 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist

También puede navegar a la carpeta aplicación > Globalprotect > haga clic con el botón derecho en la opción y seleccione la opción app "Mostrar contenido de paquete" en el menú contextual.

En la carpeta que se abre, verá una carpeta Contenido. Abrirlo y dentro, debe haber al menos un archivo Plist llamado info.plist puede hacer clic derecho en él y agregar la nueva clave dentro del archivo.
<key>UseKextAnyway</key>
<integer>1</integer>

Aquí está el ejemplo de plist :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Palo Alto Networks</key>
	<dict>
		<key>GlobalProtect</key>
		<dict>
			<key>Settings</key>
			<dict>
				<key>UseKextAnyway</key>
				<integer>1</integer>
			</dict>
		</dict>
	</dict>
</dict>
</plist>

Nota: También puede utilizar otra opción para cambiar la lista de plist como JAMF y otras herramientas de MACOS administración.

2. Actualización a 5.2.5hf y versiones posteriores :

Después de finalizar la instalación y comprobar la conexión a la puerta de enlace , Puede ejecutar estos Globalprotect comandos para comprobar que estamos utilizando la extensión Kernal:

ser1@user1s-Mac-3 Preferences % kextstat -l | grep 'palo'                     

  158    0 0xffffff7f82c02000 0x4000     0x4000     com.paloaltonetworks.kext.pangpd (5.2.5f84) 6445D143-37E4-3DCD-95DE-62588A81A4D1 <6 5 3 1>

¿Hay alguna consideración especial al implementar este cambio para usar kernelExtensions en lugar de SystemExtensions?

La nueva clave debe implementarse antes de instalar o actualizar GP .
Si ya está instalado y systemExtensions está habilitado, desinstale la GlobalProtect aplicación, implemente previamente la nueva clave para que la reserva de kext funcione. De lo contrario, verá un inicio de sesión en PanGPS.log como

“PanGPS set to explicitly use kext. However system extension is enabled already. Please contact your administrator.”

La nueva clave solo se reconoce y se hace efectiva en la nueva GP versión (5.2.5 HF +).
No surtido efecto en macOS Big Sur. Lo que significa que si actualiza macOS a Big Sur más adelante, GP utilizará extensión del sistema en Big Sur.

Additional Information

Cómo volver a utilizar extensiones del sistema más adelante, debe:

Eliminación de la nueva clave de .plist primero
A continuación, reiniciar GP

A¿Hay alguna advertencia para usar kernelExtensions en Catalina (algo que Apple no recomienda)?

La versión kext no admitirá las características FQDN basadas en excepciones del ejecutor y DNS división.
Si las extensiones del sistema ya se han habilitado, primero debe desinstalar GP para utilizar la nueva clave para habilitar kext. De lo contrario, verá un inicio de sesión en PanGPS.log como "PanGPS establecido para utilizar explícitamente kext. Sin embargo, la extensión del sistema ya está habilitada. Póngase en contacto con su administrador."

¿Hay alguna limitación para la función de tunelización de dominio/ app división cuando usamos la versión kext?

Cualquier dominio de inclusión/exclusión al que se acceda a través de Safari puede encontrar problemas. Por lo tanto, sería recomendable utilizar otros navegadores como Chrome. Firefox, etc.
app que utiliza webkit (marco nativo de macOS) puede tener un problema con las extensiones del kernel (ejemplos de webkit, Safari, Microsoft Teams).