Global Protect Portal / Gateway Config Auswahlkriterien gelten nicht für Benutzernamen im UPN-Format (E-Mail)

• Der Benutzer authentifiziert sich gegenüber GP mit einem Benutzername in einem E-Mail-Format
• Das gleiche E-Mail-Format wird im GP Portal/Gateway „Config Selection Criteria“ verwendet.
• Der Benutzer ist erfolgreich authentifiziert, aber GP zeigt die Meldung „Verbindung fehlgeschlagen. Sie sind nicht berechtigt, eine Verbindung zum GlobalProtect-Portal herzustellen.“ an und der Benutzer ist nicht mit dem GP-Portal verbunden.
  
• Der Benutzer wurde erfolgreich authentifiziert, aber GP zeigt die Meldung „Verbindung fehlgeschlagen. Passende Client-Konfiguration nicht gefunden“ an und der Benutzer ist nicht mit dem GP-Gateway verbunden.
  

alle PanOS-Versionen
alle GP-Veröffentlichungen

Nach der erfolgreichen Authentifizierung normalisierte die Firewall das Benutzername auf das Domänen-/ Benutzername .

Wenn auf der Firewall eine Gruppenzuordnung oder CIE (Cloud Identity Engine) konfiguriert ist, sollte auf der Firewall eine Domänenzuordnung vorhanden sein. Alle Benutzer werden mit allen in der Gruppenzuordnung oder CIE-Konfiguration angegebenen Benutzerattributen abgerufen.

Das Benutzername Benutzername@Domäne wird zunächst in das Format Domäne\ Benutzername normalisiert. Je nachdem, ob eine Domänenzuordnung für die Domäne vorhanden ist oder nicht, bleibt der Domänenteil unverändert als FQDN (Beispielformat „mylab.local“) oder wird in den NETBIOS-Namen geändert (Beispielformat „mylab“).

Im nächsten Schritt werden die Benutzerattribute überprüft und die „Konfigurationsauswahlkriterien“ werden anhand aller verfügbaren Benutzernamenattribute abgeglichen. Falls kein Benutzerattribut vorhanden ist, wird für die „Benutzername Benutzername .

Falls keine Attribute vorhanden sind, die dem E-Mail-Format Übereinstimmung , werden die „Konfigurationsauswahlkriterien“ nicht mit dem in der Liste „Konfigurationsauswahlkriterien“ des GP-Portals/Gateways konfigurierten E-Mail- Benutzername abgeglichen.

In den „Konfigurationsauswahlkriterien“ muss das richtige Benutzername verwendet werden. Je nach Situation können unterschiedliche Formate verwendet werden.

Für den Benutzername „Benutzername@mylab.local“ können wir Folgendes verwenden:
- „mylab.local\ Benutzername“, wenn keine Domänenzuordnung für „mylab.local“ auf der Firewall vorhanden ist
- „mylab\ Benutzername“, wenn eine Domänenzuordnung für „mylab.local“ auf der Firewall vorhanden ist
- alle verfügbaren Benutzerattribute, falls die Domänenzuordnung für „mylab.local“ auf der Firewall vorhanden ist und unterschiedliche Benutzerattribute vorhanden sind

Nützliche Befehle:
- um die Domänenzuordnung zu überprüfen:
Debuggen Sie die Benutzer-ID und dumpen Sie die Domänenzuordnung
- um die Benutzerattribute zu überprüfen:
Benutzer anzeigen Benutzerattribute Benutzer

Beispielverhalten für 3 Benutzer:
- tomasz2@mylab.local
- tomasz3@lab.test
- tomasz4@mylab.local

Die Gruppenzuordnung ist auf der Firewall konfiguriert.
Domain-Map wird abgerufen:

Es wird nur ein Benutzer aus der AD geholt (tomasz2@mylab.local). Zwei weitere Benutzer sind keine Mitglieder der AD. Daher gibt es Benutzer nur für einen Benutzer:


Die „Konfigurationsauswahlkriterien“ des GP-Gateways sind wie folgt konfiguriert:


Die Ergebnisse für alle 3 Benutzer:
- tomasz2@mylab.local
Der Benutzername wird auf das Format „mylab\tomasz2“ normalisiert.
Die Konfiguration ist für zwei Benutzername geeignet: „mylab\new_user“ und „ tomasz2@mylab.local “.


- tomasz3@lab.test
Da keine Domänenzuordnung für lab.test vorhanden ist, wird der Benutzername auf das Format „lab.test\tomasz2“ normalisiert.
„lab.test\tomasz2“ ist das einzige Benutzerattribut und die Konfiguration wurde basierend auf diesem Format erfolgreich abgeglichen.


- tomasz4@mylab.local
Da eine Domänenzuordnung für „mylab.local“ vorhanden ist, wird der Benutzername auf das Format „mylab\tomasz4“ normalisiert.
Es wird kein Benutzerattribut aus AD abgerufen, daher ist „mylab\tomasz4“ das einzige Benutzerattribut, nach dem in der Konfiguration gesucht wird.
Wie erwartet stimmt keine Konfiguration überein.