能够回落到 KEXT SE 而不是在 macOS 卡塔利娜 10.15.4+ 与 GlobalProtect 5.2.5-H1+
11865
Created On 03/17/21 18:11 PM - Last Modified 01/14/25 02:00 AM
Symptom
退回到卡塔利娜系统 10.15.4 及以上内核扩展选项:
本文旨在为客户提供继续使用 macOS 卡塔利娜 10.15.4 及以上内核扩展选项。 由于苹果错误是固定在大苏尔或第三方 app 错误(不适应新的苹果框架),客户可能想要回退使用 KEXT ,如果他们不能移动到大苏尔或推动第三方应用程序的供应商适应新的框架。
客户可以留在卡塔利娜,但配置 GlobalProtect 使用Kernal扩展5.2.5 HF 及以上的版本,而不是 GlobalProtect 使用系统扩展默认的客户使用强制 Globalprotect 网络访问和拆分隧道功能。
Environment
- GlobalProtect App 版本 5.1.4+ 至 5.2.5
- 卡塔利娜版本 10.15.4 +
Cause
与 GP 5.1.4及以后, Globalprotect 开始只使用卡塔利娜10.15.4及以上的系统扩展。 许多客户在使用系统扩展时遇到了拆分隧道和执行器问题以及其他问题,如核心恐慌。
请查看此链接,了解使用系统扩展时的侧面问题,并配置排除域多个应用程序在 macOS 卡塔利纳 10.15.x 上冻结或错误。
https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE
| GlobalProtect | 系统扩展 | 内核扩展 | 按域划分的分隧道。 | 拆分隧道由 app | 按访问路线划分的分隧道 | 评论 |
| 5.1.4及以上 | · | 铬 X. 野生动物园 ✓ 火狐 ✓ 边缘 X。 | · | · | 注意: Chrome 部分适用于经常在重定向发生时看到ERR_* 消息的客户端(刷新可以解决问题 )https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE | |
| 5.2.X | · | 铬 X. 野生动物园 ✓ 火狐 ✓ 边缘 X。 | · | · | 注意: Chrome 部分适用于经常在重定向发生时看到ERR_* 消息的客户端(刷新可以解决问题 )https://knowledgebase.paloaltonetworks.com/kcSArticleDetail?id=kA14u000000HBqE | |
| 5.2.5 HF 及以上 | · | 铬 ✓ 野生动物园 X. 火狐 ✓ 边缘✓ | · | · | 1-微软团队不适用于按域划分的隧道, App 使用webkit与内核扩展不兼容。 |
Resolution
如果客户已经在最新 GP 版本和卡塔利娜上,并且无法升级到 Big Sur,则返回到内核扩展选项是建议的解决方案。
为了回落到Kernal扩展,我们需要编辑应用程序上的plist文件 Globalprotect ,然后升级 Globalprotect 到版本5.2.5Hot修复和以后。
请注意,您需要有一个根的特权来更改页列表。
1. 编辑列表:
- 我们需要在预先部署的.plist文件中添加 <key>UseKextAnyway(/</key> 库/偏好/com.帕洛尔顿特作品 GlobalProtect 。设置。列表)。
> cd /Library/Preferences/ > vi com.paloaltonetworks.GlobalProtect.settings.plist adding these 2 line under the setting : <key>UseKextAnyway</key> <integer>1</integer> save the changes. You can run these command for checking the changes: >defaults read com.paloaltonetworks.GlobalProtect.settings.plist
- 您还可以运行此命令以更改列表:
plutil -insert "Palo Alto Networks".GlobalProtect.Settings.UseKextAnyway -integer 1 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist
- 您还可以导航到应用程序文件夹 Globalprotect >>右键单击 app ,并从上下文菜单中选择"显示包内容"选项。
在打开的文件夹中,您将看到内容文件夹。 打开它, 里面, 应该至少有一个 Plist 文件称为 info.plist, 你可以右键点击它, 并在文件内添加新的键。
<key>使用凯克斯特一路</key>
<integer>1</integer>
下面是列表示例:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Palo Alto Networks</key> <dict> <key>GlobalProtect</key> <dict> <key>Settings</key> <dict> <key>UseKextAnyway</key> <integer>1</integer> </dict> </dict> </dict> </dict> </plist>
注意:您还可以使用其他选项来更改点列表(如 JAMF 其他 MACOS 管理工具)。
2. 升级到 5.2.5hf,然后:
完成安装并检查网关连接后 Globalprotect ,您可以运行这些命令以检查我们使用的是 Kernal 扩展:
ser1@user1s-Mac-3 Preferences % kextstat -l | grep 'palo' 158 0 0xffffff7f82c02000 0x4000 0x4000 com.paloaltonetworks.kext.pangpd (5.2.5f84) 6445D143-37E4-3DCD-95DE-62588A81A4D1 <6 5 3 1>
部署此更改以使用内核扩展而不是系统扩展时是否有任何特殊考虑?
- 在安装或升级之前,必须部署新密钥 GP 。
- 如果已经安装并启用了系统扩展,则卸载 GlobalProtect 应用程序,预部署 kext 回退的新密钥以恢复工作。 否则,您将看到潘格普的日志.log如
“PanGPS set to explicitly use kext. However system extension is enabled already. Please contact your administrator.”
- 新密钥仅在新 GP 版本(5.2.5+)中识别并生效 HF 。
- 它不会对马科斯大苏尔生效。 这意味着,如果您稍后升级到大苏尔, GP 将使用大苏尔的系统扩展。
Additional Information
如何切换回使用系统扩展后,您需要:
- 首先从。plist中删除新密钥
- 然后重新启动 GP
A在卡塔利娜(苹果不推荐的东西)上使用内核扩展有什么警告吗?
- kext 版本不支持 FQDN 基于强制执行器异常 和 拆分 DNS 功能。
- 如果系统扩展已启用,则必须首先卸载 GP 以使用新密钥启用 kext。 否则,您将在 PanGPS 中看到日志.log如"设置为明确使用 kext 的泛 GPS"。 但是系统扩展已启用。 请联系您的管理员。
app当我们使用 kext 版本时,域/拆分隧道功能是否有任何限制?
- 通过 Safari 访问的任何包括/排除域名都可能遇到问题。 因此,最好使用其他浏览器,如Chrome。 火狐等
- app 使用webkit(原生macOS框架)可能有一个问题,内核扩展(webkit示例,Safari,微软团队)。