使用果酱启用系统和网络扩展 PRO

使用果酱启用系统和网络扩展 PRO

90698
Created On 08/26/20 21:16 PM - Last Modified 11/08/23 22:19 PM


Symptom


背景

GlobalProtect 启动 5.1.4 的应用程序使用 macOS 卡塔利娜 10.15.4 或稍后端点上的系统扩展来启用功能,例如:

GlobalProtect 启动 5.2 的应用程序使用 macOS 卡塔利娜 10.15.4 或更晚的端点上的系统扩展来启用功能,例如:

当 GlobalProtect 应用程序首次安装在 macOS 卡塔利娜 10.15.4 或更晚的设备上或升级到 GlobalProtect 应用 5.1.4 时,他们现在必须启用 系统扩展。 如果您已在网关上配置了拆分隧道或 GlobalProtect 在门户上强制连接了网络访问, 则系统扩展受阻 的通知消息在安装过程中显示在应用上,提示用户启用并允许 macOS 中的系统扩展无法加载以使用这些 GlobalProtect 功能。

目标:

本文档的目标是使用 GlobalProtect 5.1.6 已签名的配置配置文件,并使用 jamf 部署它们 PRO 以抑制 macOS 10.15.4 或更晚的系统和网络扩展弹出窗口。 工作流可用于支持部署配置配置文件的任何其他移动设备管理 MDM 器 () 提供商。

注意:此文档假定 macOS 端点没有手动启用网络扩展。 如果网络扩展已经通过弹出窗口手动启用 GlobalProtect ,而不是使用配置配置文件,通过 jamf PRO 启用网络扩展将创建重复的网络扩展条目。

Environment


  • GlobalProtect 5.1.6或更晚
  • macos 卡塔利娜 10.15.4 或更晚 / macos Bigsur 11 .

前提:

  • 仅 PRO 支持 GlobalProtect 5.1.6及以后的jamf配置配置文件。
  • macos 卡塔利娜 10.15.4 或更晚 / macos Bigsur 11 .
  • 在使用配置文件文件之前,请确保文件未损坏,通过验证下载文件的哈希值以及本文档中每个文件提供的哈希值,并确保它们都匹配。 否则,请重新下载文件。

Resolution


目录:
 

启用 GlobalProtect系统扩展
启用 GlobalProtect macOS 卡塔利娜 10.15.4 上的网络扩展,稍后端点
启用 GlobalProtect macOS BigSur 11 端点步骤上的网络扩展
,以便在 jamfPro v10.26.0 验证配置配置配置文件上为执行者添加配置配置配置文件

 

启用 GlobalProtect 系统扩展:

 

  • 要启用系统扩展,请按照以下步骤操作:
  1. 在 jamf PRO 上,导航到计算机>配置配置文件>新。
  2. 在这里,创建一个配置配置文件,如下所示,以下信息如下:
    1. 选择系统扩展。
    2. 输入 GlobalProtect 应用程序(PXPZ95SK77)使用的团队标识符。
    3. 输入捆绑标识符 (com. 帕洛尔顿工厂 GlobalProtect . . .客户端。扩展)。


注意:要在应用程序安装后立即启用系统扩展 GlobalProtect ,请使用以下命令:

苏多安装程序 GlobalProtect -pkg.pkg-应用选择改变XML install_system_extensions.xml-目标/

其install_system_extensions.xml是

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPEplist PUBLIC DTD PLIST "-//Apple//1.0//""http://www.apple.com/DTDs/PropertyList-1.0.dtd"> EN
<plist version="1.0"></plist>
<array></array>
           <dict></dict>
<key>属性设置</key>                   
<integer>1</integer>                 
<key>选择归因</key>                 
<string>选定</string>                 
<key>选项标识符</key>                 
<string>第三</string>                 
           
           <dict></dict>
<key>属性设置</key>                 
<integer>1</integer>                 
<key>选择归因</key>                 
<string>选定选项</string>                 
<key>标识符</key>                 
<string>com.帕洛尔顿工厂 globalprotect .系统ext.pkg</string>                 
           
</array>
</plist>


启用 GlobalProtect macOS 卡塔利娜 10.15.4 和稍后端点上的网络扩展:

a.拆分隧道应用程序、域和 dns 弹出窗口
 a.拆分隧道应用程序、域和 dns 弹出窗口

b. 强制 GlobalProtect 弹出窗口


 
  • 有 4 个不同的网络扩展配置文件文件附加到本文档,其用法如下所述:
  1. GlobalProectSplitApp. mobileconfig (Md5 哈希 = d3d9940daadd91cb8b727db28026910c)
  • GlobalProtect基于应用程序的分隧道专用配置配置配置文件
  • 抑制与配置相关的网络扩展弹出窗口 (a) VPN
  1. GlobalProectSplitDomain. mobileconfig (Md5 哈希 = 235bda0a10eed7ca2b1efe7892439389)
  • GlobalProtect基于域的拆分隧道专用配置配置文件
  • 抑制与配置相关的网络扩展弹出窗口 (a) VPN
  1. GlobalProectSplitDNS.mobileconfig(MD5 哈希 = 020c721f6fed19cac436e0205eb0bedb)
  • GlobalProtect特定于拆分 dns 功能的配置配置文件文件
  • 抑制与添加配置相关的网络扩展弹出窗口 (a) VPN
  1. GlobalProectEnforcer. mobileconfig (Md5 哈希 = f1e1a501fc70b3a69e29fb5e722983ff)
  • 针对强制执行功能的配置配置配置文件文件 GlobalProtect
  • 禁止与筛选器网络内容相关的网络扩展弹出窗口 (b)
注意: 本文档中提供强制程序移动配置在 jamfPro v10.26.0上不起作用,但它适用于其他 jamfPro 版本。 单击此处 了解如何 在 jamfPro v10.26.0 上添加强制程序移动配置的步骤
  • 以下是关于如何上传和部署配置配置文件以将其 PRO 部署到 macOS 卡塔利娜端点的分步说明。
  1. 登录到 jamf PRO 后,导航到计算机>配置配置文件。 选择"上传"选择移动配置文件。选择要上传的移动配置文件。

  1. 选择要上载的配置文件文件。

  1. 上传配置文件文件后保存它

  1. 查看并验证配置文件文件是否成功上载
  1. 重复步骤 1 到 4 以上载所需的任何其他配置配置文件

  1. 将一个或多个配置配置文件部署到 macOS 终结点


在 GlobalProtect macOS 大苏尔 11 端点上启用网络扩展:
 


用户添加的图像
 
  • 在 macOS BigSur 端点上,单个配置配置文件足以抑制与 macOS Catalina 不同的网络扩展弹出窗口。 为 macOS Big Sur 终结点添加配置配置文件的步骤与在 jamfPro v10.26.0上为强制程序添加配置配置文件的步骤相同。
 

在 jamfPro v10.26.0 上为强制程序添加配置配置文件的步骤。

Jamf Pro v10.26.0 引入了 macOS 设备的内容筛选有效负载。 看来,这项工作还引入了一个问题 JAMF (Bug#), PI-009162 它防止了上传包括此有效载荷的个人资料的能力(例如, GlobalProtect 执行者移动通信),无论是通过 GUI 和 API . 此时,唯一可用的解决方法是使用 GUI Jamf Pro v10.26 及以后可用的配置文件构建配置文件。 以下是 GlobalProtect 使用 GUI .。。


1. 登录到 jamf PRO 后,导航到计算机>配置配置文件。 选择"新"以添加执行器的配置配置文件 GlobalProtect 。

新配置文件

  1. 从选项中选择内容筛选器并配置以下值并保存配置配置文件。
  • 筛选器名称 = 全局保护
  • 标识符 = 公司帕洛尔顿特工厂 GlobalProtect . . .客户
  • 插座过滤器捆绑标识符 = com. 帕洛尔顿工厂 GlobalProtect . . .客户端。
  • 插座过滤器指定要求 = 锚定苹果通用和标识符 "com. 帕洛尔顿工厂 GlobalProtect . .客户端.扩展"和(证书叶[字段.1.2.840.113635.100.6.1.9]/*存在*/或证书1[字段.1.2.840.113635 .100.6.2.6] [*存在*/和证书叶[字段.1.2.840.113635.100.6.1.13][存在]/和证书叶[主题。 OU | • PXPZ95SK77)
  • 网络过滤器捆绑标识符= com. 帕洛尔顿工厂 GlobalProtect . . .客户端。
  • 网络过滤器指定要求 – 锚定苹果通用和标识符"com.帕洛尔顿工厂 GlobalProtect . .客户端.扩展"和(证书叶[字段.1.2.840.113635.100.6.1.9]/*存在*/或证书1[字段.1.2.840.113635 .100.6.2.6] [*存在*/和证书叶[字段.1.2.840.113635.100.6.1.13][存在]/和证书叶[主题。 OU | • PXPZ95SK77)

用户添加的图像

用户添加的图像

 

验证配置配置文件:

  1. 在 GlobalProtect macOS 上成功部署配置配置文件将在系统首选项>>网络下创建一个或多个以下网络接口,如下所示:
  • 格洛布拉保护道:域网接口 GlobalProtect
  • 格洛布拉保护计划:用于应用程序的网络接口 GlobalProtect
  • 格洛布拉保护:执行器的网络界面 GlobalProtect
  • 格洛布拉保护点:网络界面 GlobalProtect DNS

  1. 建立 GlobalProtect VPN 隧道后,网络接口将变得活跃、连接或运行,如下所示:


注意:即使配置文件用于启用系统和网络扩展,系统仍将弹出对话框,询问 Admin 密码   ,以便在GP卸载期间删除系统扩展。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAW8CAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language