Criterios de selección de configuración de puerta de enlace/portal de Global Protect que no se aplican a nombres de usuario con formato UPN (correo electrónico)
Symptom
- El usuario se autentica en GP con el nombre de usuario en un formato de correo electrónico
- El mismo formato de correo electrónico se utiliza en el Portal/Gateway GP "Criterios de selección de configuración"
- El usuario se autenticó correctamente, pero GP muestra la notificación "Error de conexión. No está autorizado a conectarse al portal de GlobalProtect" y el usuario no está conectado al portal de GP.
- El usuario se autenticó correctamente, pero GP muestra la notificación "Error de conexión. No se encontró la configuración de cliente correspondiente" y el usuario no está conectado a GP Gateway.
Environment
Todas las versiones de PanOS
Todos los lanzamientos de GP
Cause
Después de la autenticación exitosa, el cortafuegos normalizó el formato de nombre de usuario al formato dominio\ nombre de usuario .
Si se configura la asignación de grupos o CIE (Cloud Identity Engine) en el cortafuegos, debe haber un mapa de dominio en el cortafuegos. Se obtienen todos los usuarios con todos los atributos de usuario especificados en la configuración de asignación de grupos o CIE.
El formato de nombre de usuario nombre de usuario@dominio se normalizará primero al formato de nombre de usuario dominio\. Según si el mapa de dominio para el dominio está presente o no, la parte del dominio no se modificará como FQDN (formato de ejemplo "mylab.local") o se cambiará al nombre NETBIOS (formato de ejemplo "mylab").
Como siguiente paso, se verificarán los atributos del usuario y se buscará una coincidencia entre los "Criterios de selección de configuración" y todos los atributos de nombre de usuario disponibles. En caso de que no haya ningún atributo de usuario, el único formato de nombre de usuario utilizado para los "Criterios de selección de configuración" será el formato dominio\ nombre de usuario .
En caso de que no haya atributos que coincidente con el formato de correo electrónico, los "Criterios de selección de configuración" no coincidirán con el formato de nombre de usuario de correo electrónico configurado en la lista "Criterios de selección de configuración" del Portal/Gateway GP.
Resolution
En "Criterios de selección de configuración" se debe utilizar el formato de nombre de usuario correcto. Se pueden utilizar distintos formatos según la situación.
Para el nombre de usuario "nombre de usuario@mylab.local" podemos utilizar:
- "mylab.local\ nombre de usuario" si no hay ningún mapa de dominio para "mylab.local" presente en el cortafuegos
- "mylab\ nombre de usuario" si el mapa de dominio está presente para "mylab.local" en el cortafuegos
- cualquier atributo de usuario disponible en caso de que el mapa de dominio para "mylab.local" esté presente en el cortafuegos y estén presentes diferentes atributos de usuario
Comandos útiles:
- Para comprobar el mapa de dominio:
depuración de identificador de usuario dump domain-map
- para comprobar los atributos del usuario:
mostrar usuario atributos de usuario usuario
Additional Information
Ejemplo de comportamiento para 3 usuarios:
- tomasz2@mylab.local
- tomasz3@lab.test
- tomasz4@mylab.local
La asignación de grupos se configura en el cortafuegos.
Se obtiene el mapa de dominio:
Solo se obtiene un usuario del AD (tomasz2@mylab.local). Otros dos usuarios no son miembros del AD. Como resultado, solo hay atributos de usuario para un usuario:
Los "Criterios de selección de configuración" de GP Gateway se configuran de la siguiente manera:
Los resultados para los 3 usuarios:
- tomasz2@mylab.local
El nombre de usuario está normalizado al formato "mylab\tomasz2"
La configuración coincide con 2 formatos de nombre de usuario "mylab\new_user" y " tomasz2@mylab.local "
- tomasz3@lab.test
Como el mapa de dominio para lab.test no está presente, el nombre de usuario se normaliza al formato "lab.test\tomasz2".
"lab.test\tomasz2" es el único atributo del usuario y la configuración coincidió correctamente según ese formato.
- tomasz4@mylab.local
Como el mapa de dominio para "mylab.local" está presente, el nombre de usuario se normaliza al formato "mylab\tomasz4".
No se obtiene ningún atributo de usuario de AD, por lo que "mylab\tomasz4" es el único atributo de usuario cuya configuración se verificará.
Como era de esperar, no coincide ninguna configuración.