Les critères de sélection de configuration du portail/passerelle Global Protect ne s'appliquent pas aux noms d'utilisateur au format UPN (e-mail)
Symptom
- L'utilisateur s'authentifie auprès du médecin généraliste avec un nom d'utilisateur au format e-mail
- Le même format de courrier électronique est utilisé dans les « critères de sélection de configuration » du portail/passerelle GP
- L' utilisateur est authentifié avec succès, mais le médecin généraliste affiche la notification « Échec de la connexion. Vous n'êtes pas autorisé à vous connecter au portail GlobalProtect. » et l' utilisateur n'est pas connecté au portail du médecin généraliste
- L' utilisateur est authentifié avec succès, mais GP affiche la notification « Échec de la connexion. Configuration client correspondante non trouvée » et l' utilisateur n'est pas connecté à la passerelle GP
Environment
toutes les versions de PanOS
toutes les versions GP
Cause
Après l'authentification réussie, le pare-feu a normalisé le format du nom d'utilisateur au format domaine\ nom d'utilisateur .
Si le mappage de groupe ou CIE (Cloud Identity Engine) est configuré sur le pare-feu, un mappage de domaine doit être présent sur le pare-feu. Tous les utilisateurs sont récupérés avec tous les attributs de l'utilisateur spécifiés dans le mappage de groupe ou la configuration CIE.
Le format du nom d'utilisateur nom d'utilisateur@domaine sera d'abord normalisé au format domaine\ nom d'utilisateur . Selon que la mappe de domaine pour le domaine est présente ou non, la partie domaine sera inchangée en tant que FQDN (format d'exemple "mylab.local"), ou sera modifiée en nom NETBIOS (format d'exemple "mylab").
À l'étape suivante, les attributs de l'utilisateur seront vérifiés et les « critères de sélection de configuration » seront mis en correspondance en fonction de tous les attributs de nom d'utilisateur disponibles. Si aucun attribut d'utilisateur n'est présent, le seul format de nom d'utilisateur utilisé pour les « critères de sélection de configuration » sera le format domaine\ nom d'utilisateur .
Si aucun attribut correspondance au format de courrier électronique, les « critères de sélection de configuration » ne correspondront pas au format de nom d'utilisateur de courrier électronique configuré dans la liste « critères de sélection de configuration » du portail/passerelle GP.
Resolution
Le format correct du nom d'utilisateur doit être utilisé dans les « Critères de sélection de configuration ». Différents formats peuvent être utilisés, selon la situation.
Pour le nom d'utilisateur «nom d'utilisateur@mylab.local » nous pouvons utiliser :
- "mylab.local\ nom d'utilisateur" si aucun mappage de domaine pour "mylab.local" n'est présent sur le pare-feu
- "mylab\ nom d'utilisateur" si le plan de domaine est présent pour "mylab.local" sur le pare-feu
- tous les attributs d'utilisateur disponibles au cas où la carte de domaine pour « mylab.local » est présente sur le pare-feu et que des attributs d'utilisateur différents sont présents
Commandes utiles :
- pour vérifier le plan du domaine :
débogage du vidage de l'identifiant utilisateur et de la carte de domaine
- pour vérifier les attributs de l'utilisateur :
afficher l' utilisateur attributs utilisateur
Additional Information
Exemple de comportement pour 3 utilisateurs :
- tomasz2@mylab.local
- tomasz3@lab.test
- tomasz4@mylab.local
Le mappage de groupe est configuré sur le pare-feu.
La carte du domaine est récupérée :
Un seul utilisateur est récupéré depuis l' AD (tomasz2@mylab.local). Deux autres utilisateurs ne sont pas membres de l' AD. Par conséquent, il n'existe des attributs utilisateur que pour un seul utilisateur:
Les « critères de sélection de configuration » de la passerelle GP sont configurés comme suit :
Les résultats pour les 3 utilisateurs :
- tomasz2@mylab.local
Le nom d'utilisateur est normalisé au format « mylab\tomasz2 »
La configuration correspond à 2 formats de nom d'utilisateur « mylab\new_user » et « tomasz2@mylab.local »
- tomasz3@lab.test
Comme la carte de domaine pour lab.test n'est pas présente, le nom d'utilisateur est normalisé au format « lab.test\tomasz2 ».
« lab.test\tomasz2 » est le seul attribut de l'utilisateur et la configuration correspond avec succès en fonction de ce format.
- tomasz4@mylab.local
Comme la carte de domaine pour « mylab.local » est présente, le nom d'utilisateur est normalisé au format « mylab\tomasz4 ».
Aucun attribut d'utilisateur n'est récupéré depuis AD, donc « mylab\tomasz4 » est le seul attribut d'utilisateur, la configuration sera vérifiée.
Comme prévu, aucune configuration ne correspond.