GlobalProtect 身份验证失败,并显示消息“用户不在允许列表中”
7505
Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:56 AM
Symptom
- SAML 身份验证后,iOS 设备上的 GPapp卡在连接状态。
- 在所有 iOS 设备上断开或重新启动 GPapp后就会发生这种情况。
- 指定域时,身份验证成功。例如,'domain\user1' 成功,而没有域的用户名名 'user1' 失败。
Environment
- Palo Alto 防火墙
- PAN OS 10.2.x
- GlobalProtect (GP) 应用程序
- SAML 身份验证
- iOS 设备
Cause
- 在 SAML身份验证配置文件中,用户被指定为“domain\user1”,而不仅仅是用户名,例如“user1”。
- 该用户名从 GlobalProtect 门户上的 cookie 中提取并发送到 GlobalProtect 应用程序以用于身份验证。
- GlobalProtect 门户为 GlobalProtect 应用程序提供不带域名的用户名。
- 提供的用户名是“user1”,而不是“domain\user1”。
- GPapp使用它进行 cookie 身份验证,但由于用户未列在 SAML身份验证配置文件中的允许列表中,因此身份验证失败。
Resolution
- 该问题已在 PAN-OS 10.2.8、11.0.4 及更高版本中的PAN-226768下修复。
- 升级到上述版本将解决该问题。
- 以 UPN 或电子邮件格式配置 IDP 服务器中的用户名属性。
- 解决方法的第 1 步之后,在每个代理配置中使用不同的证书对 GlobalProtect 网关“身份验证覆盖”设置进行 Cookie 加密/解密。
- 上述步骤将使旧的 cookie 无效,并强制新的 SAML 身份验证使用适当的用户名生成新的 cookie 以通过允许列表检查。