グローバル保護ポータル/ゲートウェイ構成選択基準は、UPN (電子メール) 形式のユーザー名には適用されません

• ユーザーは電子メール形式のユーザー名でGPに認証します
• GPポータル/ゲートウェイの「構成選択基準」でも同じ電子メール形式が使用されます。
• ユーザーは正常に認証されましたが、GP は「接続に失敗しました。GlobalProtect ポータルに接続する権限がありません。」という通知を表示し、ユーザーはGP ポータルに接続されません。
  
• ユーザーは正常に認証されましたが、GP は「接続に失敗しました。一致するクライアント構成が見つかりません」という通知を表示し、ユーザーはGP ゲートウェイに接続されていません。
  

すべてのPanOSリリース
すべてのGPリリース

認証が成功すると、ファイアウォールはユーザー名の形式をドメイン\ユーザー名の形式に正規化しました。

ファイアウォールでグループ マッピングまたは CIE (Cloud Identity Engine) が設定されている場合、ファイアウォールにドメイン マップが存在する必要があります。すべてのユーザーは、グループ マッピングまたは CIE 構成で指定されたすべてのユーザー属性とともに取得されます。

ユーザー名の形式ユーザー名@domain は、まず domain\ ユーザー名形式に正規化されます。ドメインのドメイン マップが存在するかどうかに応じて、ドメイン部分はFQDNとして変更されないか (例の形式は "mylab.local")、NETBIOS 名に変更されます (例の形式は "mylab")。

次のステップでは、ユーザーの属性がチェックされ、使用可能なすべてのユーザー名の属性に基づいて「構成選択基準」が照合されます。ユーザーの属性が存在しない場合は、「構成選択基準」に使用されるユーザー名名の形式は、ドメイン\ユーザー名の形式のみになります。

電子メール形式に一致属性がない場合、「構成選択基準」は、GP ポータル/ゲートウェイの「構成選択基準」リストで構成された電子メールユーザー名形式と一致しません。

「設定選択基準」では正しいユーザー名形式を使用する必要があります。状況に応じて、異なる形式を使用できます。

ユーザー名「ユーザー名 @mylab.local」の場合、以下を使用できます。
-ファイアウォールに「mylab.local」のドメインマップが存在しない場合は「mylab.local\ ユーザー名 」
-ファイアウォール上の「mylab.local」にドメインマップが存在する場合は「mylab\ ユーザー名 」
-ファイアウォール上に「mylab.local」のドメインマップが存在し、異なるユーザー属性が存在する場合に使用可能なユーザー属性

便利なコマンド:
- ドメインマップを確認するには:
ユーザーIDのデバッグ、ドメインマップのダンプ
- ユーザーの属性を確認するには:
ユーザーを表示 ユーザー属性ユーザー

3 人のユーザーの動作例:
- tomasz2@mylab.local
- tomasz3@lab.test
- tomasz4@mylab.local

グループ マッピングはファイアウォール上で構成されます。
ドメインマップが取得されます:

ADから取得されるユーザーは 1 人だけです (tomasz2@mylab.local)。他の 2 人のユーザーはADのメンバーではありません。結果として、ユーザー属性は 1 人のユーザーに対してのみ存在します。


GP ゲートウェイの「構成選択基準」は次のように構成されます。


3 人のユーザー全員の結果:
- tomasz2@mylab.local
ユーザー名は「mylab\tomasz2」という形式に正規化されます。
設定は、2 つのユーザー名形式「mylab\new_user」と「 tomasz2@mylab.local 」に一致します。


- tomasz3@lab.test
lab.test のドメイン マップが存在しないため、ユーザー名は"lab.test\tomasz2" の形式に正規化されます。
「lab.test\tomasz2」は唯一のユーザーの属性であり、その形式に基づいて構成が正常に一致しました。


- tomasz4@mylab.local
「mylab.local」のドメインマップが存在するため、ユーザー名は「mylab\tomasz4」の形式に正規化されます。
ADからユーザーの属性は取得されないため、構成がチェックされるユーザーの属性は「mylab\tomasz4」のみになります。
予想どおり、一致する構成はありません。