KEXT SE 5.2.5-H1+ で macOS カタリナ 10.15.4+ の代わりにフォールバックする機能 GlobalProtect

14227

Created On 03/17/21 18:11 PM - Last Modified 01/14/25 02:00 AM

Symptom

カタリナシステム10.15.4以上のカーネル拡張オプションへのフォールバック:

この記事では、macOS Catalina 10.15.4 以上でカーネル拡張機能を引き続き使用するオプションを提供します。 Big Surまたはサードパーティの app バグ(新しいAppleフレームワークに適合していない)で修正されたAppleのバグのために、顧客 KEXT はBig Surに移行できない場合や、サードパーティ製アプリのベンダーを押して新しいフレームワークに適応させたい場合に使用にフォールバックすることができます。

お客様はCatalinaに滞在できますが GlobalProtect HF 、 GlobalProtect Globalprotect ネットワークアクセスとスプリットトンネリング機能にEnforceを使用しているお客様に対してデフォルトでSystemExtensionを使用するのではなく、5.2.5以上のビルドでKernalExtensionsを使用するように設定できます。

Environment

GlobalProtect App バージョン 5.1.4+ まで 5.2.5
カタリナバージョン 10.15.4 +

Cause

GP5.1.4 以降では、 Globalprotect カタリナ 10.15.4 以上のシステム拡張のみを使用し始めました。多くのお客様がスプリットトンネリングやエンフォーサー、システム拡張を使用する際にカーナルパニックなどの問題に遭遇しています。

システム拡張を使用する場合の側面の問題を理解し、複数のアプリケーションが macOS Catalina 10.15.x でフリーズまたはエラーが発生しているドメインを除外する場合は、このリンクを参照してください。

https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE

GlobalProtect	システム拡張	カーネル拡張	ドメイン別のスプリットトンネル。	スプリットトンネル app	アクセスルートによるスプリットトンネル	コメント
5.1.4以上	✓		クロム X. サファリ ✓ ファイアフォックス ✓ エッジ X.	✓	✓	注: リダイレクトが発生している場合(リフレッシュで問題を解決できます)、クライアントがERR_*メッセージを表示することがよくあります https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5.2.X	✓		クロム X. サファリ ✓ ファイアフォックス ✓ エッジ X.	✓	✓	注: リダイレクトが発生している場合(リフレッシュで問題を解決できます)、クライアントがERR_*メッセージを表示することがよくあります https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
5.2.5 HF 以上		✓	クローム ✓ サファリ X. ファイアフォックス ✓ エッジ ✓	✓	✓	1-Microsoft Teamsは、webkit を使用するドメインによるスプリットトンネルでは動作 App しません。サファリの問題で2-カーネルの拡張. この問題は、Apple チームとの間でまだ調査中です。注: 完全トンネルに対してスプリットトンネルドメイン/アプリケーション (含めるまたは除外リスト) を使用した場合に、これら 2 つの制限を見るだけに制限はありません。カーネルパニックの問題は、Catalinaの5.2.5でカーネル拡張を使用しても観察されませんでした HF 。

Resolution

カーネル拡張機能オプションへのフォールバックは、顧客がすでに最新 GP バージョンとカタリナにあり、Big Surにアップグレードできない場合の推奨解像度です。

KernalExtension にフォールバックするには、アプリケーションで plist ファイルを編集 Globalprotect し、 Globalprotect バージョン 5.2.5Hot 修正プログラムとそれ以降にアップグレードする必要があります。

plist を変更するには root 権限が必要です。

1. Plist の編集 :

事前に展開された .plist ファイル (/ライブラリ/プレファレンス/com.paloaltonetworks) に <key>UseKextとにかく</key> を追加する必要があります GlobalProtect 。設定.plist)。

端末から次の方法でキーを追加できます。

> cd /Library/Preferences/
> vi com.paloaltonetworks.GlobalProtect.settings.plist

adding these 2 line under the setting :

<key>UseKextAnyway</key>
<integer>1</integer>

save the changes.

You can run these command for checking the changes:

>defaults read com.paloaltonetworks.GlobalProtect.settings.plist

このコマンドを実行して、plist を変更することもできます。

plutil -insert "Palo Alto Networks".GlobalProtect.Settings.UseKextAnyway -integer 1 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist

アプリケーションフォルダ>に移動>右 Globalprotect クリック app して、コンテキストメニューから [パッケージコンテンツの表示] オプションを選択することもできます。

開いたフォルダに[コンテンツ]フォルダが表示されます。それを開いて内部に、info.plistと呼ばれる少なくとも1つのPlistファイルがあるはずです。
<key>ユースケキスとにかく</key>
<integer></integer>

1

plist の例を次に示します。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Palo Alto Networks</key>
	<dict>
		<key>GlobalProtect</key>
		<dict>
			<key>Settings</key>
			<dict>
				<key>UseKextAnyway</key>
				<integer>1</integer>
			</dict>
		</dict>
	</dict>
</dict>
</plist>

注: plist などの JAMF 他の管理ツールを変更する場合は、別のオプションを使用することもできます MACOS 。

2. 5.2.5hf以降へのアップグレード :

インストールが完了し、ゲートウェイへの接続を確認 Globalprotect した後、これらのコマンドを実行して、Kernal拡張機能を使用していることを確認できます。

ser1@user1s-Mac-3 Preferences % kextstat -l | grep 'palo'                     

  158    0 0xffffff7f82c02000 0x4000     0x4000     com.paloaltonetworks.kext.pangpd (5.2.5f84) 6445D143-37E4-3DCD-95DE-62588A81A4D1 <6 5 3 1>

この変更を展開してシステム拡張の代わりにカーネル拡張を使用する際に特別な考慮事項はありますか?

をインストールまたはアップグレードする前に、新しいキーを展開する必要があります GP 。
既にインストールされ、systemExtensions が有効になっている場合は、アプリケーションをアンインストールし GlobalProtect 、kext フォールバックが機能するために新しいキーを事前にデプロイします。それ以外の場合は、次のように、PanGPS でログ.log表示されます。

“PanGPS set to explicitly use kext. However system extension is enabled already. Please contact your administrator.”

新しいキーは認識され、新しい GP バージョン(5.2.5 HF +)でのみ有効になります。
それはmacOSビッグサーには効きません。後でmacOSをビッグサーにアップグレードすると、 GP ビッグサーのシステム拡張が使用されます。

Additional Information

後でシステム拡張を使用するように切り替える方法は、次の手順を実行する必要があります。

最初に .plist から新しいキーを削除する
その後、再起動 GP

AカタリナでkernelExtensionsを使用することに関する注意点がありますか(アップルがお勧めしません)?

kext バージョンは、ベースのFQDNエンフォーサー例外と分割 DNS 機能をサポートしません。
システム拡張が既に有効になっている場合は、 GP まず、新しいキーを使用して kext を有効にする必要があります。それ以外の場合は、PanGPS でログが表示されます.log 「PanGPS は明示的に kext を使用するように設定されています。ただし、システム拡張は既に有効になっています。管理者に問い合わせてください。

appkext バージョンを使用する場合、ドメイン/スプリットトンネリング機能に制限はありますか?

Safari を介してアクセスされるドメインを含む/除外するドメインは、問題が発生する可能性があります。だから、 Chrome のような他のブラウザを使用することをお勧めします。ファイアフォックスなど
app Web キット (ネイティブ macOS フレームワーク) を使用する場合、カーネル拡張機能 (webkit の例、Safari、Microsoft Teams) に問題がある可能性があります。