GlobalProtect ruft die Konfiguration nicht ab, wenn sich der Benutzer erfolgreich beim Portal authentifiziert
25684
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM
Objective
Schritte zur Problembehandlung und zum Beheben des Problems, wenn die Benutzer die Konfiguration nicht abrufen, wenn sie sich erfolgreich beim Portal authentifizieren.
Environment
- GlobalProtect Portal mit Authentifizierungsprofil
- Gruppenzuordnungseinstellungen mit Attributen, die unter Benutzer- und Gruppenattribute definiert sind
Procedure
Aus dem FW Web UI:
Überprüfen der GlobalProtect Authentifizierungseinstellung
Überprüfen Sie unter Netzwerk> > Portal > GlobalProtect Authentifizierung das eingestellte Authentifizierungsprofil. Für diesen Artikel werden wir die Authentifizierung berücksichtigen, die SAML häufig das E-Mail-Benutzernamenformat verwendet
- Überprüfen Sie unter Network > > Portal > Agent > <portal-config-name> > Konfigurationsauswahlkriterien > GlobalProtect Benutzer/Benutzergruppe die Gruppe, die der Registerkarte hinzugefügt wurde
- Überprüfen Sie unter Geräte- > Benutzeridentifikation > Gruppenzuordnungseinstellungen > <Gruppenzuordnungseinstellungsname> > Benutzer- und Gruppenattribute das Benutzerattribut für das Feld Primärer Benutzername
Von FW CLI:
- Problembehandlung
- Um herauszufinden, warum die Benutzer-zu-Gruppen-Übereinstimmung fehlgeschlagen ist, müssen wir die folgenden Debugs aktivieren und den Benutzer erneut mit verbinden lassen GlobalProtect:
> debug ssl-vpn global on debug > debug ssl-vpn global show
- Wenn der Benutzer die Konfiguration nicht abrufen kann, deaktivieren Sie die Debugs mit den folgenden Befehlen:
> debug ssl-vpn global on info > debug ssl-vpn global show
- Überprüfen Sie, welcher Benutzername durch das Authentifizierungsprofil gelernt wird und ob er im sslvpn-Prozess normalisiert wird. Benutzernamentypen, die so akzeptiert werden, wie es im sslvpn-Prozess ist, sind nur Benutzername oder Domäne \ Benutzername.Da der gelernte Benutzername in diesem Fall user1@domain.com ist, wird er auf domain.com\Benutzer1 normalisiert, und dieses Format wird verwendet, um ihn mit der Gruppe abzugleichen, die der GlobalProtect Portal-Agent-Konfiguration hinzugefügt wurde.
> less mp-log appweb3-sslvpn.log ...... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes) 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain (); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1); <<<<<<< 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any .....
- Da die Übereinstimmung in diesem Fall fehlgeschlagen ist, überprüfen Sie das Benutzernamenformat des Benutzers in der Benutzergruppe, und überprüfen Sie dann, ob der normalisierte Benutzername, der auf appweb3-sslvpn.log angezeigt wird, Teil der Ausgabe von Benutzerattributen ist.
> show user group name “IT Test GP Portal Agent User” | match us\user1 [12] us\user1 > show user user-attributes user us\user1 Primary: us\user1 Email: user1.palo@domain.com Alt User Names: 1) domain.com\user1.paloalto 2) user1.paloalto@domain.com
- Da das normalisierte Benutzernamenformat nicht Teil der Ausgabe von Benutzerattributen ist, ist die Übereinstimmung fehlgeschlagen.
- entschluß
Additional Information
Dieselben Schritte können ausgeführt werden, wenn die Konfiguration nicht abgerufen werden kann, wenn GlobalProtect app sich der Benutzer erfolgreich beim Gateway authentifiziert.