Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
GlobalProtect ユーザーがポータルに正常に認証されたときに構成を取得していません - Knowledge Base - Palo Alto Networks

GlobalProtect ユーザーがポータルに正常に認証されたときに構成を取得していません

25684
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM


Objective


ユーザーがポータルへの認証に成功したときに構成を取得できない場合の問題をトラブルシューティングして解決する手順。

Environment


  • GlobalProtect 認証プロファイルを持つポータル
  • で定義された属性によるグループ マッピング設定ユーザーおよびグループの属性


Procedure


からFWウェブUI:

  • を確認します。GlobalProtect認証設定

  1. からネットワーク >GlobalProtect > ポータル > 認証、設定されている認証プロファイルを確認してください。 この記事では、SAML一般的に電子メールのユーザー名形式を使用する認証


ユーザーが追加した画像
 

  1. からネットワーク >GlobalProtect > ポータル > エージェント > <ポータル構成名> > 構成選択基準 > ユーザー/ユーザー グループ、タブに追加されたグループを確認します

ユーザー グループ基準。PNG

  1. からデバイス > ユーザー ID > グループ マッピング設定 > <group-mapping-setting-name> > ユーザーおよびグループ属性、のユーザー属性を確認してくださいプライマリ ユーザー名分野

ユーザー属性。PNG

からFW CLI:

  • トラブルシューティング
  1. ユーザーとグループの一致が失敗した理由を確認するには、次のデバッグを有効にして、ユーザーに再接続させる必要があります。GlobalProtect :
> debug ssl-vpn global on debug
> debug ssl-vpn global show
  1. ユーザーが構成の取得に失敗した後、次のコマンドを使用してデバッグをオフにしてください。
> debug ssl-vpn global on info
> debug ssl-vpn global show
  1. 認証プロファイルを通じて学習されたユーザー名と、それが正規化されているかどうかを確認します。 sslvpnプロセス。 そのまま受け入れられるユーザー名の種類sslvpnプロセスはユーザー名のみまたはドメイン\ユーザー名.この場合、学習したユーザー名はuser1@domain.comに正規化されます。 domain.com\user1 、およびこの形式は、追加されたグループに一致させるために使用されますGlobalProtectポータル エージェントの構成
> less mp-log appweb3-sslvpn.log 
......
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config...
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes)
 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain ();
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1);    <<<<<<<
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any
 .....
  1. この場合は一致に失敗したため、ユーザー グループ内のユーザーのユーザー名形式を確認してから、正規化されたユーザー名がappweb3-sslvpn.logユーザー属性出力の一部です
> show user group name “IT Test GP Portal Agent User” | match us\user1

[12] us\user1

> show user user-attributes user us\user1

Primary: us\user1 Email: user1.palo@domain.com
 Alt User Names:
 1) domain.com\user1.paloalto
 2) user1.paloalto@domain.com
  1. 正規化されたユーザー名形式はユーザー属性出力の一部ではないため、一致は失敗しました
  • 解決
構成、設定SAMLuser-attributes コマンド出力に存在する形式と一致するユーザー名を提供する別のユーザー名属性を使用するには、IdP を使用します。


Additional Information


同じ手順に従うことができますGlobalProtectappユーザーがゲートウェイに対して正常に認証されると、構成の取得に失敗します。

Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V9KCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language