GlobalProtect 当用户成功验证到门户时未获取配置

GlobalProtect 当用户成功验证到门户时未获取配置

23197
Created On 04/15/21 14:02 PM - Last Modified 04/19/24 20:43 PM


Objective


当用户成功通过门户验证后无法获取配置时,故障排除和解决问题的步骤。

Environment


  • GlobalProtect 具有身份验证配置文件的门户
  • 具有在下定义的属性的组映射设置用户和组属性

Procedure


从FW网络UI:

  • 验证GlobalProtect身份验证设置

  1. 网络 >GlobalProtect > 门户网站 > 身份验证,请检查身份验证配置文件集。 对于本文,我们将考虑SAML通常使用电子邮件用户名格式的身份验证


用户添加的图像
 

  1. 网络 >GlobalProtect > 门户 > 代理 > <portal-config-name> > 配置选择标准 > 用户/用户组,检查添加到选项卡的组

你的群体标准。PNG

  1. 设备 > 用户标识 > 组映射设置 > <group-mapping-setting-name> > 用户和组属性,检查用户属性主用户名场地

用户属性。PNG

从FW CLI:

  • 故障排除
  1. 为了检查用户组匹配失败的原因,我们需要启用以下调试并让用户重新连接到GlobalProtect:
> debug ssl-vpn global on debug
> debug ssl-vpn global show
  1. 用户获取配置失败后,请使用以下命令关闭调试:
> debug ssl-vpn global on info
> debug ssl-vpn global show
  1. 验证通过身份验证配置文件获悉的用户名以及是否正在规范化sslvpn过程。 可以接受的用户名类型sslvpn过程是用户名仅或域\用户名.在这种情况下,由于学习到的用户名是user1@domain.com , 它被归一化为域名.com\user1 ,并且此格式将用于将其与添加到的组匹配GlobalProtect门户代理配置
> less mp-log appweb3-sslvpn.log 
......
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1651): getting client config...
 2020-09-17 14:53:03.008 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1271): user(user1@domain.com) clientos(Mac) is_gp(yes) domain() csc_support(yes)
 2020-09-17 14:53:03.008 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:762): query useridd for user attrs and groups: vsys_id (1); user (user1@domain.com); domain ();
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (domain.com\user1);    <<<<<<<
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:784): query useridd for users: out user attr (user1@domain.com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:790): query useridd for users: 2 out user attrs;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (cn=IT Test Server User,ou=groups,dc=domain,dc=com);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:805): query useridd for groups: out group (useridd-groupsready);
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:811): query useridd for groups: 2 out groups;
 2020-09-17 14:53:03.009 -0700 debug: globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:822): no 'uemail' object found for user user1@domain.com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.009 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1308): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for domain.com\user1
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1110): found user attr user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for user1@domain.com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test GP Portal Agent User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for cn=IT Test Server User,ou=groups,dc=domain,dc=com
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1122): found user group useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:482): no config found for useridd-groupsready
 2020-09-17 14:53:03.010 -0700 debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:480): config found for any
 .....
  1. 由于本例匹配失败,请检查用户组中用户的用户名格式,然后验证在appweb3-sslvpn.log是用户属性输出的一部分
> show user group name “IT Test GP Portal Agent User” | match us\user1

[12] us\user1

> show user user-attributes user us\user1

Primary: us\user1 Email: user1.palo@domain.com
 Alt User Names:
 1) domain.com\user1.paloalto
 2) user1.paloalto@domain.com
  1. 由于规范化的用户名格式不是用户属性输出的一部分,因此匹配失败
  • 解决
配置SAMLIdP 使用不同的用户名属性,该属性将提供与 user-attributes 命令输出中存在的格式相匹配的用户名。

Additional Information


当GlobalProtectapp用户在网关认证成功时获取配置失败。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V9KCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language