GlobalProtect n’obtient pas la configuration lorsque l’utilisateur s’authentifie avec succès auprès du portail
25684
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM
Objective
Étapes pour dépanner et résoudre le problème lorsque les utilisateurs ne parviennent pas à obtenir la configuration lorsqu’ils s’authentifient avec succès sur le portail.
Environment
- GlobalProtect Portail avec profil d’authentification
- Paramètres de mappage de groupe avec attributs définis sous Attributs d’utilisateur et de groupe
Procedure
Depuis le FW Web UI:
Vérifier le paramètre d’authentification GlobalProtect
Dans Network > GlobalProtect > Portal > Authentication, vérifiez le profil d’authentification défini. Pour cet article, nous examinerons SAML l’authentification qui utilise couramment le format de nom d’utilisateur de messagerie
- Dans Network > > Portal >Agent > <portal-config-name> > Config Selection Criteria > GlobalProtect User/User Group, cochez le groupe ajouté à l’onglet
- Dans Paramètres de mappage de périphérique > d’utilisateur > de groupe > <nom-de-configuration-mapping-de-groupe> > Attributs de l’utilisateur et du groupe, vérifiez l’attribut utilisateur pour le champ Nom d’utilisateur principal
De FW CLI:
- Dépannage
- Afin de vérifier pourquoi la correspondance utilisateur-groupe a échoué, nous devons activer les débogages suivants et demander à l’utilisateur de se reconnecter à GlobalProtect:
> debug ssl-vpn global on debug > debug ssl-vpn global show
- Une fois que l’utilisateur ne parvient pas à obtenir la configuration, désactivez les débogages à l’aide des commandes suivantes :
> debug ssl-vpn global on info > debug ssl-vpn global show
- Vérifiez quel nom d’utilisateur est appris via le profil d’authentification et s’il est normalisé sur le processus sslvpn. Les types de nom d’utilisateur qui seraient acceptés tels quels sur le processus sslvpn sont nom d’utilisateur uniquement ou domaine\nom d’utilisateur.Dans ce cas, puisque le nom d’utilisateur appris est user1@domain.com, il est normalisé en domain.com\user1, et ce format sera utilisé pour le faire correspondre au groupe ajouté à la configuration de l’Agent GlobalProtect de portail.
> less mp-log appweb3-sslvpn.log ...... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config... 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes) 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain (); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1); <<<<<<< 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready); 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups; 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any .....
- Étant donné que la correspondance a échoué dans ce cas, vérifiez le format de nom d’utilisateur de l’utilisateur dans le groupe d’utilisateurs, puis vérifiez si le nom d’utilisateur normalisé affiché sur appweb3-sslvpn.log fait partie de la sortie des attributs utilisateur
> show user group name “IT Test GP Portal Agent User” | match us\user1 [12] us\user1 > show user user-attributes user us\user1 Primary: us\user1 Email: user1.palo@domain.com Alt User Names: 1) domain.com\user1.paloalto 2) user1.paloalto@domain.com
- Étant donné que le format de nom d’utilisateur normalisé ne fait pas partie de la sortie des attributs utilisateur, la correspondance a échoué
- Résolution
Additional Information
Les mêmes étapes peuvent être suivies en cas GlobalProtect app d’échec de l’obtention de la configuration lorsque l’utilisateur s’authentifie auprès de la passerelle avec succès.