Capacité de se replier KEXT au lieu de sur SE macOS Catalina 10.15.4+ avec GlobalProtect 5.2.5-H1+
11863
Created On 03/17/21 18:11 PM - Last Modified 01/14/25 02:00 AM
Symptom
Option d’extension du noyau sur Catalina Systems 10.15.4 et plus :
Cet article est d’offrir aux clients la possibilité de continuer à utiliser des extensions de noyau dans macOS Catalina 10.15.4 et plus. En raison soit des bogues Apple qui sont corrigés dans Big Sur ou des bogues tiers app (non adaptés au nouveau framework Apple), les clients peuvent vouloir se replier sur l’utilisation KEXT s’ils ne sont pas en mesure de passer à Big Sur ou pousser le fournisseur d’applications tierces à s’adapter au nouveau cadre.
Les clients pouvaient rester sur Catalina mais GlobalProtect configurer pour utiliser KernalExtensions sur les builds 5.2.5 HF et au-dessus, plutôt que GlobalProtect d’utiliser SystemExtensions par défaut pour les clients utilisant Enforce Globalprotect pour l’accès au réseau et les capacités de split-tunneling.
Environment
- GlobalProtect App Version 5.1.4+ jusqu’à 5.2.5
- Catalina version 10.15.4 +
Cause
Avec GP 5.1.4 et plus tard , a Globalprotect commencé à utiliser uniquement des extensions système sur Catalina 10.15.4 et au-dessus. Beaucoup de clients sont en cours d’exécution dans les questions sur split-tunneling et enforcer et d’autres questions comme la panique kernal lors de l’utilisation de l’extension du système.
S’il vous plaît jeter un oeil à ce lien pour comprendre le problème secondaire lors de l’utilisation de l’extension du système et configurer exclure les applications multiples de domaine sont le gel ou l’erreur sur macOS Catalina 10.15.x.
https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
| GlobalProtect | SystemExtensions (en) | KernelExtensions | Split-tunnel par domaine. | Split-tunnel par app | Split-tunnel par voies d’accès | Commentaires |
| 5,1,4 et plus | ✓ | Chrome X. Safari ◊ Firefox ◊ Bord X. | ✓ | ✓ | Remarque : Chrome fonctionne partiellement avec les clients qui voient souvent des messages ERR_* lorsque la redirection se produit (la mise à jour peut résoudre le problème) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE | |
| 5,2.X | ✓ | Chrome X. Safari ◊ Firefox ◊ Bord X. | ✓ | ✓ | Remarque : Chrome fonctionne partiellement avec les clients qui voient souvent des messages ERR_* lorsque la redirection se produit (la mise à jour peut résoudre le problème) https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE | |
| 5,2,5 et HF plus | ✓ | Chrome ◊ Safari X. Firefox ◊ Bord ◊ | ✓ | ✓ | 1-Microsoft Teams ne fonctionne pas pour split-tunnel par domaine, qui App utilise webkit n’est pas compatible avec les extensions de noyau. |
Resolution
L’option d’extension de retour au noyau est la résolution suggérée si le client est déjà sur la GP dernière version et Catalina et ne peut pas passer à Big Sur.
Afin de revenir à KernalExtension, nous avons besoin de modifier le fichier plist sur Globalprotect l’application, puis mettre à Globalprotect niveau vers la version 5.2.5Hot fixer et plus tard .
Veuillez noter que vous devez avoir des privilèges root pour modifier la liste.
1. Montage de la Plist :
- Nous devons ajouter <key>UseKextAnyway dans</key> le fichier .plist pré-déployé (/Library/Preferences/com.paloaltonetworks. GlobalProtect . settings.plist).
> cd /Library/Preferences/ > vi com.paloaltonetworks.GlobalProtect.settings.plist adding these 2 line under the setting : <key>UseKextAnyway</key> <integer>1</integer> save the changes. You can run these command for checking the changes: >defaults read com.paloaltonetworks.GlobalProtect.settings.plist
- Vous pouvez également exécuter cette commande pour changer la liste de plist :
plutil -insert "Palo Alto Networks".GlobalProtect.Settings.UseKextAnyway -integer 1 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist
- Vous pouvez également naviguer vers le dossier d’application > Globalprotect > clic droit et sélectionner app l’option « Afficher le contenu du paquet » à partir du menu contexte.
Dans le dossier qui s’ouvre, vous verrez un dossier Contenu. Ouvrez-le et à l’intérieur, il devrait y avoir au moins un fichier Plist appelé info.plist vous pouvez cliquer à droite sur elle et ajouter la nouvelle clé à l’intérieur du fichier.
<key>UseKextAnyway</key>
<integer>1 (1)</integer>
Voici l’exemple de plist :
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Palo Alto Networks</key> <dict> <key>GlobalProtect</key> <dict> <key>Settings</key> <dict> <key>UseKextAnyway</key> <integer>1</integer> </dict> </dict> </dict> </dict> </plist>
Remarque : Vous pouvez également utiliser une autre option pour modifier la liste comme et JAMF d’autres MACOS outils de gestion.
2. Mise à niveau vers 5.2.5hf et plus tard :
Après avoir terminé l’installation et vérifié la connexion à Globalprotect la passerelle, vous pouvez exécuter ces commandes pour vérifier que nous utilisons l’extension Kernal :
ser1@user1s-Mac-3 Preferences % kextstat -l | grep 'palo' 158 0 0xffffff7f82c02000 0x4000 0x4000 com.paloaltonetworks.kext.pangpd (5.2.5f84) 6445D143-37E4-3DCD-95DE-62588A81A4D1 <6 5 3 1>
Y a-t-il des considérations particulières lors du déploiement de ce changement pour utiliser des extensions de noyau au lieu de SystemExtensions ?
- La nouvelle clé doit être déployée avant l’installation ou la mise à GP niveau.
- Si déjà installé et systèmeExtensions sont activés, puis désinstaller GlobalProtect l’application, pré-déployer la nouvelle clé pour le repli kext au travail. Sinon, vous verrez un journal dans PanGPS.log comme
“PanGPS set to explicitly use kext. However system extension is enabled already. Please contact your administrator.”
- La nouvelle clé n’est reconnue et entrée en vigueur que dans la GP nouvelle version (5.2.5 HF +).
- Il n’entrera pas en vigueur sur macOS Big Sur. Ce qui signifie que si vous mettez à niveau macOS à Big Sur plus GP tard, utilisera l’extension du système sur Big Sur.
Additional Information
Comment revenir à utiliser les extensions système plus tard, vous devez:
- Suppression de la nouvelle clé de .plist d’abord
- Puis redémarrage GP
Ay at-il des mises en garde à l’utilisation kernelExtensions sur Catalina (quelque chose d’Apple ne recommande pas)?
- La version kext ne supporte pas les FQDN fonctionnalités Enforcer Exceptions et Split DNS basées.
- Si les extensions système ont déjà été activées, vous devez GP d’abord désinstaller pour utiliser la nouvelle clé pour activer le kext. Sinon, vous verrez un journal dans PanGPS.log comme « PanGPS mis à utiliser explicitement kext. Toutefois, l’extension du système est déjà activée. Veuillez contacter votre administrateur.
Y at-il une limitation pour le app domaine / split tunneling fonctionnalité lorsque nous utilisons la version kext?
- Tous les domaines inclus/exclus accessibles via Safari peuvent rencontrer des problèmes. Ainsi, il serait conseillé d’utiliser d’autres navigateurs comme Chrome. Firefox etc.
- app qui utilise webkit (cadre macOS natif) peut avoir un problème avec les extensions de noyau (exemples webkit, Safari, Microsoft Teams).