GlobalProtect no obtiene la configuración cuando el usuario se autentica correctamente en el portal

GlobalProtect no obtiene la configuración cuando el usuario se autentica correctamente en el portal

23191
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM


Objective


Pasos para solucionar y resolver el problema cuando los usuarios no obtienen la configuración cuando se autentican correctamente en el portal.

Environment


  • GlobalProtect Portal con perfil de autenticación
  • Configuración de asignación de grupos con atributos definidos en Atributos de usuario y grupo

Procedure


Desde FW Web UI:

  • Comprobar la configuración de GlobalProtect autenticación

  1. En Network > > Portal > GlobalProtect Authentication, compruebe el perfil de autenticación establecido. Para este artículo, consideraremos SAML la autenticación que comúnmente usa el formato de nombre de usuario de correo electrónico


Imagen de usuario añadido
 

  1. En Network > > Portal > Agent > <portal-config-name> > Config Selection Criteria > GlobalProtect User/User Group, compruebe el grupo agregado a la pestaña

Criterios del grupo UER.PNG

  1. En Device > User Identification > Group Mapping Settings > <group-mapping-setting-name> > User and Group Attributes, compruebe el atributo de usuario para el campo Nombre de usuario principal

atributo de usuario.PNG

Desde FW CLI:

  • Solución de problemas 
  1. Para comprobar por qué falló la coincidencia de usuario a grupo, debemos habilitar las siguientes depuraciones y hacer que el usuario vuelva a conectarse a GlobalProtect:
> debug ssl-vpn global on debug
> debug ssl-vpn global show
  1. Si el usuario no obtiene la configuración, desactive las depuraciones mediante los siguientes comandos:
> debug ssl-vpn global on info
> debug ssl-vpn global show
  1. Verifique qué nombre de usuario se aprende a través del perfil de autenticación y si se está normalizando en el proceso sslvpn . Los tipos de nombre de usuario que se aceptarían tal como están en el proceso sslvpn son solo nombre de usuario o dominio \ nombre de usuario.En este caso, dado que el nombre de usuario aprendido es user1@domain.com, se normaliza a domain.com\user1 y este formato se usaría para que coincida con el grupo agregado a GlobalProtect la configuración del Agente del portal
> less mp-log appweb3-sslvpn.log 
......
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config...
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes)
 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain ();
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1);    <<<<<<<
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any
 .....
  1. Dado que la coincidencia falló en este caso, verifique el formato del nombre de usuario del usuario en el grupo de usuarios y luego, verifique si el nombre de usuario normalizado visto en appweb3-sslvpn.log es parte de la salida de atributos de usuario
> show user group name “IT Test GP Portal Agent User” | match us\user1

[12] us\user1

> show user user-attributes user us\user1

Primary: us\user1 Email: user1.palo@domain.com
 Alt User Names:
 1) domain.com\user1.paloalto
 2) user1.paloalto@domain.com
  1. Dado que el formato de nombre de usuario normalizado no forma parte de la salida de atributos de usuario, se produjo un error en la coincidencia
  • Resolución
Configure SAML IdP para utilizar un atributo username diferente que proporcionará el nombre de usuario que coincida con los formatos presentes en la salida del comando user-attributes.
 

Additional Information


Se pueden seguir los mismos pasos cuando no se puede obtener la configuración cuando GlobalProtect app el usuario se autentica correctamente en la puerta de enlace.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V9KCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language