Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Habilitar extensiones de sistema y red mediante jamf PRO - Knowledge Base - Palo Alto Networks

Habilitar extensiones de sistema y red mediante jamf PRO

103107
Created On 08/26/20 21:16 PM - Last Modified 11/08/23 22:19 PM


Symptom


Fondo

GlobalProtect App starting 5.1.4 utiliza extensiones del sistema en macOS Catalina 10.15.4 o puntos finales posteriores para habilitar capacidades tales como:

GlobalProtect App starting 5.2 utiliza extensiones del sistema en macOS Catalina 10.15.4 o puntos de conexión posteriores para habilitar capacidades tales como:

Cuando GlobalProtect la aplicación está instalada en un dispositivo macOS Catalina 10.15.4 o posterior por primera vez o se actualiza a la aplicación GlobalProtect 5.1.4, ahora deben habilitar las extensiones del sistema. Si ha configurado el túnel dividido en la puerta de enlace o las conexiones forzadas GlobalProtect para el acceso a la red en el portal, el mensaje de notificación Bloqueado de extensión del sistema se muestra en la aplicación durante la instalación, lo que pide a los usuarios que habiliten y permitan que las extensiones del sistema en macOS que están bloqueadas de cargar utilicen estas GlobalProtect características.

Objetivo:

El objetivo de este documento es utilizar los perfiles de GlobalProtect configuración firmados 5.1.6 e implementarlos usando jamf PRO para suprimir las ventanas emergentes del sistema y de la extensión de red macOS 10.15.4 o posteriores. El flujo de trabajo se puede usar para cualquier otro proveedor de Mobile Device Manager ( MDM ) que admita la implementación de perfiles de configuración.

Nota:Este documento asume que el punto final de macOS no tiene las extensiones de red habilitadas manualmente. Si las extensiones de red ya están habilitadas manualmente a través GlobalProtect de ventanas emergentes que mediante el perfil de configuración, a través de jamf, para habilitar extensiones de red creará una red PRO duplicada.



Environment


  • GlobalProtect 5.1.6 o posterior
  • macOS Catalina 10.15.4 o posterior / macOS BigSur 11.

Requisito previo:

  • Los perfiles de configuración jamf PRO se admiten con GlobalProtect 5.1.6 y en adelante solamente.
  • macOS Catalina 10.15.4 o posterior / macOS BigSur 11.
  • Antes de utilizar los archivos de perfil de configuración, asegúrese de que el archivo no está dañado verificando el hash del archivo descargado con el hash proporcionado para cada archivo en este documento y asegurándose de que ambos coincidan. Si no lo contrario, vuelva a descargar los archivos.


Resolution


Tabla de contenidos:
 

Habilitar GlobalProtect Extensión del sistema
Habilite GlobalProtect la extensión de red en macOS Catalina 10.15.4 y posteriores los puntos finales

habilitan la extensión de red en los pasos de GlobalProtect puntos finales de MacOS BigSur 11
para agregar un perfil de configuración para enforcer en jamfPro v10.26.0
Verificar perfiles deconfiguración

 

Habilitar GlobalProtect extensión del sistema:

 

  • Para activar la extensión del sistema, siga los pasos a continuación:
  1. En jamf PRO , vaya a Equipos > perfiles de configuración > Nuevo.
  2. Aquí, cree un perfil de configuración como se muestra abajo con la siguiente información:
    1. Seleccione Extensiones del sistema.
    2. Escriba el identificador de equipo utilizado por la GlobalProtect aplicación (PXPZ95SK77).
    3. Introduzca el identificador de agrupación (com.paloaltonetworks. GlobalProtect . client.extension).


Nota: Para habilitar las extensiones del sistema inmediatamente después de la instalación de la GlobalProtect aplicación, utilice el siguiente comando:

instalador de sudo -pkg GlobalProtect .pkg -applyChoiceChangesXML install_system_extensions.xml -target /

El contenido de install_system_extensions.xml es

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC "-//Apple// DTD PLIST 1.0// EN "http://www.apple.com/DTDs/PropertyList-1.0.dtd"atributo
<plist version="1.0"></plist>
<array></array>
           <dict></dict>
<key>>Setting</key>                   
<integer>1</integer>                 
<key>choiceAttribute</key>                 
<string>seleccionado</string>                 
<key>choiceIdentifier</key>                 
<string>tercer</string>                 
           
           <dict></dict>
<key>atributoSetting</key>                 
<integer>1</integer>                 
<key>choiceAttribute</key>                 
<string>selected</string>                 
<key>choiceIdentifier</key>                 
<string>com.paloaltonetworks. globalprotect . systemext.pkg</string>                 
           
</array>
</plist>


Habilite GlobalProtect la extensión de red en macOS Catalina 10.15.4 y puntos finales posteriores:

Un. Aplicación Split-Tunnel, dominio & dns pop-up
 Un. Aplicación Split-Tunnel, dominio & dns pop-up

b. Hacer cumplir GlobalProtect la ventana emergente


 
  • Hay 4 diferentes archivos de perfil de configuración de extensión de red asociados a este documento que tiene uso como se explica a continuación:
  1. GlobalProtectSplitApp.mobileconfig (Hash MD5á d3d9940daadd91cb8b727db28026910c) 
  • Archivo de perfil de configuración específico para GlobalProtect túnel dividido basado en la aplicación
  • Suprime la ventana emergente de extensión de red (a) relacionada con VPN configuraciones
  1. GlobalProtectSplitDomain.mobileconfig (Hash MD5 a 235bda0a10eed7ca2b1efe7892439389)
  • Archivo de perfil de configuración específico para GlobalProtect túnel dividido basado en dominio
  • Suprime la ventana emergente de extensión de red (a) relacionada con VPN configuraciones
  1. GlobalProtectSplitDNS.mobileconfig (Hash MD5 á 020c721f6fed19cac436e0205eb0bedb)
  • Archivo de perfil de configuración específico GlobalProtect de la función split-dns
  • Suprime la ventana emergente de extensión de red (a) relacionada con Agregar VPN configuraciones
  1. GlobalProtectEnforcer.mobileconfig (Hash MD5á f1e1a501fc70b3a69e29fb5e722983ff) 
  • Archivo de perfil de configuración específico de la función Aplicar GlobalProtect
  • Suprime la extensión de red emergente (b) relacionada con Filtrar contenido de red
(Nota: Enforcer mobileconfig proporcionado en este documento no funcionará en jamfPro v10.26.0,pero funciona en otras versiones de jamfPro. Haga clic aquí para ver los pasos para agregar Enforcer mobileconfig en jamfPro v10.26.0)
  • A continuación se presentan las instrucciones paso a paso sobre cómo puede cargar e implementar perfiles de configuración en jamf PRO e implementarlos en puntos de conexión de macOS Catalina.
  1. Una vez que haya iniciado sesión en jamf PRO , vaya a Equipos > perfiles de configuración. Aquí selecciona Cargar para elegir el archivo de configuración móvil que se va a cargar.

  1. Seleccione el archivo de perfil de configuración que desea cargar.

  1. Una vez cargado el archivo de perfil de configuración, guárdelo

  1. Revise y verifique que el archivo de perfil de configuración se cargue correctamente
  1. Repita los pasos del 1 al 4 para cargar los perfiles de configuración adicionales necesarios

  1. Implementa uno o varios perfiles de configuración en los puntos de conexión de macOS


Habilite GlobalProtect la extensión de red en los puntos finales de MacOS BigSur 11:
 


Imagen de usuario añadido
 
 

Pasos para agregar un perfil de configuración para Enforcer en jamfPro v10.26.0.

Jamf Pro v10.26.0 introdujo la carga útil de filtrado de contenido para dispositivos macOS. Parece que este trabajo también introdujo un problema ( JAMF Bug# PI-009162 ) que impide la capacidad de cargar perfiles que incluyen esta carga útil (por ejemplo, GlobalProtect Enforcer mobileconfig), tanto a través de GUI la y la API . En este momento, la única solución alternativa disponible es construir el perfil utilizando el GUI que ahora está disponible en Jamf Pro v10.26 y versiones posteriores. A continuación se indican los pasos para configurar GlobalProtect Enforcer mobileconfig mediante GUI el archivo .


1. Una vez que haya iniciado sesión en jamf PRO , vaya a Equipos > perfiles de configuración. Seleccione "Nuevo" para agregar el perfil de configuración para GlobalProtect Enforcer.

NewProfile

  1. Seleccione Filtro de contenido en las opciones y configure los siguientes valores y guarde el perfil de configuración.
  • FilterName - GlobalProtectEn
  • Identificador = com.paloaltonetworks. GlobalProtect . Cliente
  • Identificador de paquete de filtro de socket = com.paloaltonetworks. GlobalProtect . client.extension
  • Filtro de zócalo Requisito designado = anclar el genérico de manzana y el identificador "com.paloaltonetworks. GlobalProtect . client.extension" y (hoja de certificado[field.1.2.840.113635.100.6.1.9] /* existe */ o certificado 1[field.1.2.840.113635.100.6.2.6] /* existe */ y hoja de certificado[field.1.2.840.113635.100.6.1.13] /* existe */ y hoja de certificado[sujeto. OU ] = PXPZ95SK77)
  • Identificador de agrupación de filtros de red = com.paloaltonetworks. GlobalProtect . client.extension
  • Filtro de red Requisito designado = anclar el genérico de manzana y el identificador "com.paloaltonetworks. GlobalProtect . client.extension" y (hoja de certificado[field.1.2.840.113635.100.6.1.9] /* existe */ o certificado 1[field.1.2.840.113635.100.6.2.6] /* existe */ y hoja de certificado[field.1.2.840.113635.100.6.1.13] /* existe */ y hoja de certificado[sujeto. OU ] = PXPZ95SK77)

Imagen de usuario añadido

Imagen de usuario añadido

 

Verifique los perfiles de configuración:

  1. Los perfiles de configuración implementados correctamente GlobalProtect en macOS crearán una o varias de las siguientes interfaces de red en Preferencias del sistema >> Red como se muestra a continuación:
  • GloblaProtectDo: Interfaz de red para GlobalProtect dominio
  • GloblaProtectAp: Interfaz de red para GlobalProtect la aplicación
  • GloblaProtectEn: interfaz de red para GlobalProtect Enforcer
  • GloblaProtectDn: Interfaz de red para GlobalProtect DNS

  1. Una vez GlobalProtect VPN que el túnel se establece las interfaces de red se vuelven activos, conectados o en ejecución, tal y como se muestra a continuación:


Nota: Aunque los perfiles se utilizan para habilitar extensiones de sistema y red, el sistema seguirá activando el cuadro de diálogo solicitando contraseña de administrador para quitar las extensiones del sistema   durante GP la desinstalación.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAW8CAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language