GlobalProtect ruft die Konfiguration nicht ab, wenn sich der Benutzer erfolgreich beim Portal authentifiziert

GlobalProtect ruft die Konfiguration nicht ab, wenn sich der Benutzer erfolgreich beim Portal authentifiziert

23199
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM


Objective


Schritte zur Problembehandlung und zum Beheben des Problems, wenn die Benutzer die Konfiguration nicht abrufen, wenn sie sich erfolgreich beim Portal authentifizieren.

Environment


  • GlobalProtect Portal mit Authentifizierungsprofil
  • Gruppenzuordnungseinstellungen mit Attributen, die unter Benutzer- und Gruppenattribute definiert sind

Procedure


Aus dem FW Web UI:

  • Überprüfen der GlobalProtect Authentifizierungseinstellung

  1. Überprüfen Sie unter Netzwerk> > Portal > GlobalProtect Authentifizierung das eingestellte Authentifizierungsprofil. Für diesen Artikel werden wir die Authentifizierung berücksichtigen, die SAML häufig das E-Mail-Benutzernamenformat verwendet


Benutzeriertes Bild
 

  1. Überprüfen Sie unter Network > > Portal > Agent > <portal-config-name> > Konfigurationsauswahlkriterien > GlobalProtect Benutzer/Benutzergruppe die Gruppe, die der Registerkarte hinzugefügt wurde

Kriterien der UER-Gruppe.PNG

  1. Überprüfen Sie unter Geräte- > Benutzeridentifikation > Gruppenzuordnungseinstellungen > <Gruppenzuordnungseinstellungsname> > Benutzer- und Gruppenattribute das Benutzerattribut für das Feld Primärer Benutzername

Benutzerattribut.PNG

Von FW CLI:

  • Problembehandlung 
  1. Um herauszufinden, warum die Benutzer-zu-Gruppen-Übereinstimmung fehlgeschlagen ist, müssen wir die folgenden Debugs aktivieren und den Benutzer erneut mit verbinden lassen GlobalProtect:
> debug ssl-vpn global on debug
> debug ssl-vpn global show
  1. Wenn der Benutzer die Konfiguration nicht abrufen kann, deaktivieren Sie die Debugs mit den folgenden Befehlen:
> debug ssl-vpn global on info
> debug ssl-vpn global show
  1. Überprüfen Sie, welcher Benutzername durch das Authentifizierungsprofil gelernt wird und ob er im sslvpn-Prozess normalisiert wird. Benutzernamentypen, die so akzeptiert werden, wie es im sslvpn-Prozess ist, sind nur Benutzername oder Domäne \ Benutzername.Da der gelernte Benutzername in diesem Fall user1@domain.com ist, wird er auf domain.com\Benutzer1 normalisiert, und dieses Format wird verwendet, um ihn mit der Gruppe abzugleichen, die der GlobalProtect Portal-Agent-Konfiguration hinzugefügt wurde.
> less mp-log appweb3-sslvpn.log 
......
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config...
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes)
 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain ();
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1);    <<<<<<<
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any
 .....
  1. Da die Übereinstimmung in diesem Fall fehlgeschlagen ist, überprüfen Sie das Benutzernamenformat des Benutzers in der Benutzergruppe, und überprüfen Sie dann, ob der normalisierte Benutzername, der auf appweb3-sslvpn.log angezeigt wird, Teil der Ausgabe von Benutzerattributen ist.
> show user group name “IT Test GP Portal Agent User” | match us\user1

[12] us\user1

> show user user-attributes user us\user1

Primary: us\user1 Email: user1.palo@domain.com
 Alt User Names:
 1) domain.com\user1.paloalto
 2) user1.paloalto@domain.com
  1. Da das normalisierte Benutzernamenformat nicht Teil der Ausgabe von Benutzerattributen ist, ist die Übereinstimmung fehlgeschlagen.
  • entschluß
Konfigurieren Sie SAML IdP so, dass ein anderes username-Attribut verwendet wird, das den Benutzernamen bereitstellt, der den Formaten entspricht, die in der Ausgabe des Befehls user-attributes vorhanden sind.
 

Additional Information


Dieselben Schritte können ausgeführt werden, wenn die Konfiguration nicht abgerufen werden kann, wenn GlobalProtect app sich der Benutzer erfolgreich beim Gateway authentifiziert.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V9KCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language