GlobalProtect n’obtient pas la configuration lorsque l’utilisateur s’authentifie avec succès auprès du portail

GlobalProtect n’obtient pas la configuration lorsque l’utilisateur s’authentifie avec succès auprès du portail

23189
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM


Objective


Étapes pour dépanner et résoudre le problème lorsque les utilisateurs ne parviennent pas à obtenir la configuration lorsqu’ils s’authentifient avec succès sur le portail.

Environment


  • GlobalProtect Portail avec profil d’authentification
  • Paramètres de mappage de groupe avec attributs définis sous Attributs d’utilisateur et de groupe

Procedure


Depuis le FW Web UI:

  • Vérifier le paramètre d’authentification GlobalProtect

  1. Dans Network > GlobalProtect > Portal > Authentication, vérifiez le profil d’authentification défini. Pour cet article, nous examinerons SAML l’authentification qui utilise couramment le format de nom d’utilisateur de messagerie


Image ajoutée par l'utilisateur
 

  1. Dans Network > > Portal >Agent > <portal-config-name> > Config Selection Criteria > GlobalProtect User/User Group, cochez le groupe ajouté à l’onglet

Critères du groupe uer.PNG

  1. Dans Paramètres de mappage de périphérique > d’utilisateur > de groupe > <nom-de-configuration-mapping-de-groupe> > Attributs de l’utilisateur et du groupe, vérifiez l’attribut utilisateur pour le champ Nom d’utilisateur principal

Attribut utilisateur.PNG

De FW CLI:

  • Dépannage 
  1. Afin de vérifier pourquoi la correspondance utilisateur-groupe a échoué, nous devons activer les débogages suivants et demander à l’utilisateur de se reconnecter à GlobalProtect:
> debug ssl-vpn global on debug
> debug ssl-vpn global show
  1. Une fois que l’utilisateur ne parvient pas à obtenir la configuration, désactivez les débogages à l’aide des commandes suivantes :
> debug ssl-vpn global on info
> debug ssl-vpn global show
  1. Vérifiez quel nom d’utilisateur est appris via le profil d’authentification et s’il est normalisé sur le processus sslvpn. Les types de nom d’utilisateur qui seraient acceptés tels quels sur le processus sslvpn sont nom d’utilisateur uniquement ou domaine\nom d’utilisateur.Dans ce cas, puisque le nom d’utilisateur appris est user1@domain.com, il est normalisé en domain.com\user1, et ce format sera utilisé pour le faire correspondre au groupe ajouté à la configuration de l’Agent GlobalProtect de portail.
> less mp-log appweb3-sslvpn.log 
......
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config...
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes)
 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain ();
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1);    <<<<<<<
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any
 .....
  1. Étant donné que la correspondance a échoué dans ce cas, vérifiez le format de nom d’utilisateur de l’utilisateur dans le groupe d’utilisateurs, puis vérifiez si le nom d’utilisateur normalisé affiché sur appweb3-sslvpn.log fait partie de la sortie des attributs utilisateur
> show user group name “IT Test GP Portal Agent User” | match us\user1

[12] us\user1

> show user user-attributes user us\user1

Primary: us\user1 Email: user1.palo@domain.com
 Alt User Names:
 1) domain.com\user1.paloalto
 2) user1.paloalto@domain.com
  1. Étant donné que le format de nom d’utilisateur normalisé ne fait pas partie de la sortie des attributs utilisateur, la correspondance a échoué
  • Résolution
Configurez SAML IdP pour utiliser un attribut de nom d’utilisateur différent qui fournira le nom d’utilisateur qui correspond aux formats présents dans la sortie de la commande user-attributes.
 

Additional Information


Les mêmes étapes peuvent être suivies en cas GlobalProtect app d’échec de l’obtention de la configuration lorsque l’utilisateur s’authentifie auprès de la passerelle avec succès.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V9KCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language