GlobalProtect no obtiene la configuración cuando el usuario se autentica correctamente en el portal
25684
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM
Objective
Pasos para solucionar y resolver el problema cuando los usuarios no obtienen la configuración cuando se autentican correctamente en el portal.
Environment
- GlobalProtect Portal con perfil de autenticación
- Configuración de asignación de grupos con atributos definidos en Atributos de usuario y grupo
Procedure
Desde FW Web UI:
Comprobar la configuración de GlobalProtect autenticación
En Network > > Portal > GlobalProtect Authentication, compruebe el perfil de autenticación establecido. Para este artículo, consideraremos SAML la autenticación que comúnmente usa el formato de nombre de usuario de correo electrónico
- En Network > > Portal > Agent > <portal-config-name> > Config Selection Criteria > GlobalProtect User/User Group, compruebe el grupo agregado a la pestaña
- En Device > User Identification > Group Mapping Settings > <group-mapping-setting-name> > User and Group Attributes, compruebe el atributo de usuario para el campo Nombre de usuario principal
Desde FW CLI:
- Solución de problemas
- Para comprobar por qué falló la coincidencia de usuario a grupo, debemos habilitar las siguientes depuraciones y hacer que el usuario vuelva a conectarse a GlobalProtect:
> debug ssl-vpn global on debug > debug ssl-vpn global show
- Si el usuario no obtiene la configuración, desactive las depuraciones mediante los siguientes comandos:
> debug ssl-vpn global on info > debug ssl-vpn global show
- Verifique qué nombre de usuario se aprende a través del perfil de autenticación y si se está normalizando en el proceso sslvpn . Los tipos de nombre de usuario que se aceptarían tal como están en el proceso sslvpn son solo nombre de usuario o dominio \ nombre de usuario.En este caso, dado que el nombre de usuario aprendido es user1@domain.com, se normaliza a domain.com\user1 y este formato se usaría para que coincida con el grupo agregado a GlobalProtect la configuración del Agente del portal
> less mp-log appweb3-sslvpn.log ...... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes) 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain (); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1); <<<<<<< 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any .....
- Dado que la coincidencia falló en este caso, verifique el formato del nombre de usuario del usuario en el grupo de usuarios y luego, verifique si el nombre de usuario normalizado visto en appweb3-sslvpn.log es parte de la salida de atributos de usuario
> show user group name “IT Test GP Portal Agent User” | match us\user1 [12] us\user1 > show user user-attributes user us\user1 Primary: us\user1 Email: user1.palo@domain.com Alt User Names: 1) domain.com\user1.paloalto 2) user1.paloalto@domain.com
- Dado que el formato de nombre de usuario normalizado no forma parte de la salida de atributos de usuario, se produjo un error en la coincidencia
- Resolución
Additional Information
Se pueden seguir los mismos pasos cuando no se puede obtener la configuración cuando GlobalProtect app el usuario se autentica correctamente en la puerta de enlace.