Global Protect 门户/网关配置选择标准不适用于 UPN（电子邮件）格式的用户名

• 用户通过电子邮件格式的用户名向 GP 进行身份验证
• GP 门户/网关“配置选择标准”中使用相同的电子邮件格式
• 用户已成功验证身份，但 GP 显示“连接失败。您无权连接到 GlobalProtect 门户。”通知，并且用户未连接到 GP 门户
  
• 用户已成功验证身份，但 GP 显示“连接失败。未找到匹配的客户端配置”通知，并且用户未连接到 GP 网关
  

所有 PanOS 版本
所有 GP 版本

认证成功后，防火墙将用户名格式规范化为域\用户名格式。

如果防火墙上配置了组映射或 CIE（云身份引擎），则防火墙上应该存在域映射。所有用户都使用组映射或 CIE 配置中指定的所有用户属性进行提取。

用户名格式用户名@domain将首先规范化为 domain\ 用户名格式。根据域的域映射是否存在，域部分将保持不变为FQDN （例如格式“mylab.local”），或将更改为 NETBIOS 名称（例如格式“mylab”）。

下一步将检查用户的属性，并根据所有可用的用户名属性匹配“配置选择标准”。如果不存在用户属性，则用于“配置选择标准”的唯一用户名格式将是域\用户名格式。

如果没有与电子邮件格式匹配的属性，“配置选择标准”将不会与 GP 门户/网关“配置选择标准”列表中配置的电子邮件用户名格式匹配。

“配置选择标准”中必须使用正确的用户名格式。根据具体情况，可以使用不同的格式。

对于用户名“用户名 ”，我们可以使用：
- 如果防火墙上没有“mylab.local”的域映射，则为“mylab.local\ 用户名 ”
- 如果防火墙上存在“mylab.local”的域映射，则为“mylab\ 用户名 ”
- 如果防火墙上存在“mylab.local”的域映射，并且存在不同的用户属性，则任何可用的用户属性

有用的命令：
- 检查域地图：
调试用户 ID 转储域图
- 检查用户的属性：
显示用户用户属性用户

3 个用户的行为示例：
- tomasz2@mylab.local
- tomasz3@lab.test
- tomasz4@mylab.local

防火墙上配置了组映射。
已获取域图：

仅从AD中获取了一个用户(tomasz2@mylab.local)。另外两个用户不是AD的成员。因此，只有一个用户具有用户属性：


GP网关“配置选择标准”配置如下：


所有 3 位用户的结果：
- tomasz2@mylab.local
用户名被规范化为“mylab\tomasz2”格式
配置匹配 2 个用户名格式“mylab\new_user”和“ tomasz2@mylab.local ”


- tomasz3@lab.test
由于 lab.test 的域映射不存在，用户名被规范化为“lab.test\tomasz2”格式。
“lab.test\tomasz2”是唯一的用户属性，并且配置根据该格式成功匹配。


- tomasz4@mylab.local
由于存在“mylab.local”的域映射，因此用户名被规范化为“mylab\tomasz4”格式。
没有从AD获取任何用户属性，因此“mylab\tomasz4”是唯一的用户属性，将检查配置。
正如预期的那样，没有配置匹配。