Habilitar extensiones de sistema y red mediante jamf PRO

Fondo

GlobalProtect App starting 5.1.4 utiliza extensiones del sistema en macOS Catalina 10.15.4 o puntos finales posteriores para habilitar capacidades tales como:

• Túnel dividido basado en el nombre de dominio de destino y el nombre del proceso de aplicación
• Aplicar GlobalProtect conexiones para el acceso a la red (consulte Personalización de GlobalProtect aplicaciones)sin necesidad de extensiones de kernel

GlobalProtect App starting 5.2 utiliza extensiones del sistema en macOS Catalina 10.15.4 o puntos de conexión posteriores para habilitar capacidades tales como:

• Dividir DNS

Cuando GlobalProtect la aplicación está instalada en un dispositivo macOS Catalina 10.15.4 o posterior por primera vez o se actualiza a la aplicación GlobalProtect 5.1.4, ahora deben habilitar las extensiones del sistema. Si ha configurado el túnel dividido en la puerta de enlace o las conexiones forzadas GlobalProtect para el acceso a la red en el portal, el mensaje de notificación Bloqueado de extensión del sistema se muestra en la aplicación durante la instalación, lo que pide a los usuarios que habiliten y permitan que las extensiones del sistema en macOS que están bloqueadas de cargar utilicen estas GlobalProtect características.

Objetivo:

El objetivo de este documento es utilizar los perfiles de GlobalProtect configuración firmados 5.1.6 e implementarlos usando jamf PRO para suprimir las ventanas emergentes del sistema y de la extensión de red macOS 10.15.4 o posteriores. El flujo de trabajo se puede usar para cualquier otro proveedor de Mobile Device Manager ( MDM ) que admita la implementación de perfiles de configuración.

Nota:Este documento asume que el punto final de macOS no tiene las extensiones de red habilitadas manualmente. Si las extensiones de red ya están habilitadas manualmente a través GlobalProtect de ventanas emergentes que mediante el perfil de configuración, a través de jamf, para habilitar extensiones de red creará una red PRO duplicada.

• GlobalProtect 5.1.6 o posterior
• macOS Catalina 10.15.4 o posterior / macOS BigSur 11.

Requisito previo:

• Los perfiles de configuración jamf PRO se admiten con GlobalProtect 5.1.6 y en adelante solamente.
• macOS Catalina 10.15.4 o posterior / macOS BigSur 11.
• Antes de utilizar los archivos de perfil de configuración, asegúrese de que el archivo no está dañado verificando el hash del archivo descargado con el hash proporcionado para cada archivo en este documento y asegurándose de que ambos coincidan. Si no lo contrario, vuelva a descargar los archivos.

Tabla de contenidos:
 

Habilitar GlobalProtect Extensión del sistema
Habilite GlobalProtect la extensión de red en macOS Catalina 10.15.4 y posteriores los puntos finales
habilitan la extensión de red en los pasos de GlobalProtect puntos finales de MacOS BigSur 11
para agregar un perfil de configuración para enforcer en jamfPro v10.26.0
Verificar perfiles deconfiguración

Habilitar GlobalProtect extensión del sistema:

• Tras la instalación exitosa de GlobalProtect Client, la siguiente ventana emergente de extensión del sistema se verá como se explica en GlobalProtectla guía de la aplicación.

• Para activar la extensión del sistema, siga los pasos a continuación:

1. En jamf PRO , vaya a Equipos > perfiles de configuración > Nuevo.
2. Aquí, cree un perfil de configuración como se muestra abajo con la siguiente información:
   1. Seleccione Extensiones del sistema.
   2. Escriba el identificador de equipo utilizado por la GlobalProtect aplicación (PXPZ95SK77).
   3. Introduzca el identificador de agrupación (com.paloaltonetworks. GlobalProtect . client.extension).

Nota: Para habilitar las extensiones del sistema inmediatamente después de la instalación de la GlobalProtect aplicación, utilice el siguiente comando:

instalador de sudo -pkg GlobalProtect .pkg -applyChoiceChangesXML install_system_extensions.xml -target /

El contenido de install_system_extensions.xml es

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC "-//Apple// DTD PLIST 1.0// EN "http://www.apple.com/DTDs/PropertyList-1.0.dtd"atributo
<plist version="1.0"></plist>
<array></array>
           <dict></dict>
<key>>Setting</key>                   
<integer>1</integer>                 
<key>choiceAttribute</key>                 
<string>seleccionado</string>                 
<key>choiceIdentifier</key>                 
<string>tercer</string>                 
           
           <dict></dict>
<key>atributoSetting</key>                 
<integer>1</integer>                 
<key>choiceAttribute</key>                 
<string>selected</string>                 
<key>choiceIdentifier</key>                 
<string>com.paloaltonetworks. globalprotect . systemext.pkg</string>                 
           
</array>
</plist>

Habilite GlobalProtect la extensión de red en macOS Catalina 10.15.4 y puntos finales posteriores:

• Tras la instalación correcta de GlobalProtect Client, las siguientes ventanas emergentes de extensión de red se verán como se explica en la GlobalProtectguía del usuario de la aplicación.

 

b. Hacer cumplir GlobalProtect la ventana emergente

 

• Hay 4 diferentes archivos de perfil de configuración de extensión de red asociados a este documento que tiene uso como se explica a continuación:

1. GlobalProtectSplitApp.mobileconfig (Hash MD5á d3d9940daadd91cb8b727db28026910c) 

• Archivo de perfil de configuración específico para GlobalProtect túnel dividido basado en la aplicación
• Suprime la ventana emergente de extensión de red (a) relacionada con VPN configuraciones

2. GlobalProtectSplitDomain.mobileconfig (Hash MD5 a 235bda0a10eed7ca2b1efe7892439389)

• Archivo de perfil de configuración específico para GlobalProtect túnel dividido basado en dominio
• Suprime la ventana emergente de extensión de red (a) relacionada con VPN configuraciones

3. GlobalProtectSplitDNS.mobileconfig (Hash MD5 á 020c721f6fed19cac436e0205eb0bedb)

• Archivo de perfil de configuración específico GlobalProtect de la función split-dns
• Suprime la ventana emergente de extensión de red (a) relacionada con Agregar VPN configuraciones

4. GlobalProtectEnforcer.mobileconfig (Hash MD5á f1e1a501fc70b3a69e29fb5e722983ff) 

• Archivo de perfil de configuración específico de la función Aplicar GlobalProtect
• Suprime la extensión de red emergente (b) relacionada con Filtrar contenido de red

• A continuación se presentan las instrucciones paso a paso sobre cómo puede cargar e implementar perfiles de configuración en jamf PRO e implementarlos en puntos de conexión de macOS Catalina.

1. Una vez que haya iniciado sesión en jamf PRO , vaya a Equipos > perfiles de configuración. Aquí selecciona Cargar para elegir el archivo de configuración móvil que se va a cargar.

2. Seleccione el archivo de perfil de configuración que desea cargar.

3. Una vez cargado el archivo de perfil de configuración, guárdelo

4. Revise y verifique que el archivo de perfil de configuración se cargue correctamente

5. Repita los pasos del 1 al 4 para cargar los perfiles de configuración adicionales necesarios

6. Implementa uno o varios perfiles de configuración en los puntos de conexión de macOS

Habilite GlobalProtect la extensión de red en los puntos finales de MacOS BigSur 11:
 

• En los puntos de conexión de Big Sur de macOS, al instalar correctamente GlobalProtect Client, la siguiente ventana emergente de extensión de red se verá como se explica en GlobalProtectla guía del usuario de la aplicación.

• En los puntos de conexión BigSur de macOS, un único perfil de configuración es suficiente para suprimir la extensión de red emergente a diferencia de macOS Catalina. Los pasos para agregar un perfil de configuración para los puntos de conexión de macOS Big Sur son los mismos que los pasos para agregar un perfil de configuración para Enforcer en jamfPro v10.26.0.

Pasos para agregar un perfil de configuración para Enforcer en jamfPro v10.26.0.

Jamf Pro v10.26.0 introdujo la carga útil de filtrado de contenido para dispositivos macOS. Parece que este trabajo también introdujo un problema ( JAMF Bug# PI-009162 ) que impide la capacidad de cargar perfiles que incluyen esta carga útil (por ejemplo, GlobalProtect Enforcer mobileconfig), tanto a través de GUI la y la API . En este momento, la única solución alternativa disponible es construir el perfil utilizando el GUI que ahora está disponible en Jamf Pro v10.26 y versiones posteriores. A continuación se indican los pasos para configurar GlobalProtect Enforcer mobileconfig mediante GUI el archivo .

1. Una vez que haya iniciado sesión en jamf PRO , vaya a Equipos > perfiles de configuración. Seleccione "Nuevo" para agregar el perfil de configuración para GlobalProtect Enforcer.

2. Seleccione Filtro de contenido en las opciones y configure los siguientes valores y guarde el perfil de configuración.

Verifique los perfiles de configuración:

1. Los perfiles de configuración implementados correctamente GlobalProtect en macOS crearán una o varias de las siguientes interfaces de red en Preferencias del sistema >> Red como se muestra a continuación:

• GloblaProtectDo: Interfaz de red para GlobalProtect dominio
• GloblaProtectAp: Interfaz de red para GlobalProtect la aplicación
• GloblaProtectEn: interfaz de red para GlobalProtect Enforcer
• GloblaProtectDn: Interfaz de red para GlobalProtect DNS

2. Una vez GlobalProtect VPN que el túnel se establece las interfaces de red se vuelven activos, conectados o en ejecución, tal y como se muestra a continuación:

Nota: Aunque los perfiles se utilizan para habilitar extensiones de sistema y red, el sistema seguirá activando el cuadro de diálogo solicitando contraseña de administrador para quitar las extensiones del sistema   durante GP la desinstalación.