UPN(이메일) 형식 사용자 이름에는 Global Protect Portal/Gateway 구성 선택 기준이 적용되지 않습니다.
Symptom
- 사용자는 이메일 형식의 사용자명 으로 GP에 인증합니다.
- GP 포털/게이트웨이 "구성 선택 기준"에서는 동일한 이메일 형식이 사용됩니다.
- 사용자 성공적으로 인증되었지만 GP에서 "연결 실패. GlobalProtect Portal에 연결할 권한이 없습니다."라는 알림이 표시되고 사용자 GP Portal에 연결되지 않았습니다.
- 사용자 성공적으로 인증되었지만 GP에서 "연결 실패. 일치하는 클라이언트 구성을 찾을 수 없음" 알림이 표시되고 사용자 GP 게이트웨이에 연결되지 않았습니다.
Environment
모든 PanOS 릴리스
모든 GP 릴리스
Cause
인증이 성공적으로 완료된 후 방화벽 사용자명 형식을 도메인\ 사용자명 형식으로 정규화했습니다.
방화벽 에 그룹 매핑 또는 CIE(Cloud Identity Engine)가 구성된 경우 방화벽 에 도메인 맵이 있어야 합니다. 모든 사용자는 그룹 매핑 또는 CIE 구성에 지정된 모든 사용자 속성과 함께 페치됩니다.
사용자명 형식 사용자명@domain은 먼저 domain\ 사용자명 형식으로 정규화됩니다. 도메인에 대한 도메인 맵이 있는지 여부에 따라 도메인 부분은 FQDN (예시 형식 "mylab.local")으로 변경되지 않거나 NETBIOS 이름(예시 형식 "mylab")으로 변경됩니다.
다음 단계에서는 사용자 속성이 검사되고 "구성 선택 기준"이 사용 가능한 모든 사용자 이름 속성에 따라 일치됩니다. 사용자 속성이 없는 경우 "구성 선택 기준"에 사용되는 유일한 사용자명 형식은 domain\ 사용자명 형식입니다.
이메일 형식 매칭 속성이 없는 경우, "구성 선택 기준"은 GP 포털/게이트웨이 "구성 선택 기준" 목록에 구성된 이메일 사용자명 형식과 일치하지 않습니다.
Resolution
"Config Selection Criteria"에서 올바른 사용자명 형식을 사용해야 합니다. 상황에 따라 다른 형식을 사용할 수 있습니다.
사용자명 "사용자명 @mylab.local"에 대해 다음을 사용할 수 있습니다.
- 방화벽 에 "mylab.local"에 대한 도메인 맵이 없는 경우 "mylab.local\ 사용자명 "
- 방화벽 에 "mylab.local"에 대한 도메인 맵이 있는 경우 "mylab\ 사용자명 "
- 방화벽 에 "mylab.local"에 대한 도메인 맵이 있고 다른 사용자 속성이 있는 경우 사용 가능한 모든 사용자 속성
유용한 명령:
- 도메인 맵을 확인하려면:
디버그 사용자 ID 덤프 도메인 맵
- 사용자의 속성을 확인하려면:
사용자 사용자 속성 사용자 표시
Additional Information
3명의 사용자에 대한 예시 동작:
- tomasz2@mylab.local
- tomasz3@랩테스트
- tomasz4@mylab.local
방화벽 에서 그룹 매핑이 구성되어 있습니다.
도메인 맵을 가져왔습니다:
AD 에서 한 명의 사용자 만 페치됩니다(tomasz2@mylab.local). 다른 두 사용자는 AD 의 멤버가 아닙니다. 결과적으로 한 명의 사용자 에 대한 사용자 속성만 있습니다.
GP Gateway "구성 선택 기준"은 다음과 같이 구성됩니다.
3명의 사용자 모두에 대한 결과:
- tomasz2@mylab.local
사용자명 "mylab\tomasz2" 형식으로 정규화됩니다.
Config는 "mylab\new_user" 및 " tomasz2@mylab.local "의 2개 사용자명 형식에 대해 일치합니다.
- tomasz3@랩테스트
lab.test에 대한 도메인 맵이 없으므로 사용자명 "lab.test\tomasz2" 형식으로 정규화됩니다.
"lab.test_tomasz2"는 유일한 사용자 속성이고 구성은 해당 형식을 기준으로 성공적으로 일치되었습니다.
- tomasz4@mylab.local
"mylab.local"에 대한 도메인 맵이 존재하고 사용자명 "mylab\tomasz4" 형식으로 정규화되었습니다.
AD 에서 사용자 속성을 가져오지 않으므로 "mylab\tomasz4"가 유일한 사용자 속성이고, 구성을 검사합니다.
예상대로 어떤 구성도 일치하지 않습니다.