So beheben Sie das Problem „Übereinstimmende Clientkonfiguration nicht gefunden“

So beheben Sie das Problem „Übereinstimmende Clientkonfiguration nicht gefunden“

21602
Created On 09/14/23 03:39 AM - Last Modified 01/07/25 02:32 AM


Objective


  • Bei der Konfiguration von GlobalProtect hat ein Administrator die Möglichkeit, die „ Konfigurationsauswahlkriterien “ für Benutzer/Benutzergruppen festzulegen.
  • Standard(-) ist diese Einstellung auf „Beliebig“ konfiguriert, sodass jeder Benutzer oder jede Gruppe eine Verbindung herstellen kann.
  • Wenn ein Administrator dieses Kriterium jedoch durch die Angabe eines bestimmten Benutzers oder einer bestimmten Benutzergruppe einschränkt, ist es zwingend erforderlich, dass der Benutzername , mit dem sich der GlobalProtect-Client beim Portal und/oder Gateway authentifiziert, genau mit den aus den LDAP Servern extrahierten Benutzer-/Benutzergruppeninformationen übereinstimmt.
  • Eine große Herausforderung für Administratoren bei dieser Konfiguration ist die Varianz im Benutzer-/Benutzergruppenformat, das von den LDAP -Servern abgerufen wird. Da LDAP Benutzer und Gruppen in einer Vielzahl von Formaten darstellen kann, scheinen die möglichen Kombinationen endlos. Diese Vielfalt kann zu Nichtübereinstimmungen zwischen dem erwarteten Benutzername oder Gruppennamen und den Informationen auf den LDAP Servern führen.
  • Darüber hinaus entsteht ein weiteres potenzielles Problem, wenn der genaue Benutzer/die Benutzergruppe, die in der GlobalProtect Konfiguration angegeben ist, keinen entsprechenden Benutzername im System besitzt. Diese Diskrepanz kann zu Verbindungsfehlern führen und den Zugriff auf Benutzer einschränken, die ansonsten über Berechtigungen verfügen sollten.
  • In diesem Beitrag möchten wir anhand verschiedener Artikel diese Herausforderungen herausstellen, ihnen begegnen und Anleitungen zur Lösung bieten.

Environment


  • GlobalProtect Kunde
  • GlobalProtect Portal
  • GlobalProtect Gateway
  • LDAP Server
  • SAML

Procedure


  1. Konfiguration
    1. Verwenden Sie „GlobalProtect-Verbindung schlägt mit dem Fehler „Übereinstimmende Client-Konfiguration nicht gefunden“ fehl“, um das Ziel dieses Artikels weiter auszuführen.
    2. Informationen zum Identifizieren von Diskrepanzen zwischen dem vom GlobalProtect-Client verwendeten Benutzername und dem vom LDAP Server abgerufenen Format finden Sie unter „GlobalProtect erhält die Konfiguration nicht, wenn sich der Benutzer erfolgreich beim Portal authentifiziert“ .
    3. Wenn ein System das Format „Domäne\ Benutzername“ oder „Domäne\ Benutzer“ verwendet, während das andere „Benutzer@Domäne.com“ oder „Benutzer@Domäne“ nutzt, lesen Sie die Anleitung So rufen Sie die Gruppenzuordnung basierend auf dem SAM- oder UPN-Format ab, um die Diskrepanz zu beheben.
    4. Überprüfen Sie, ob der Identitätsanbieter (IdP) in SAML nur das Benutzername ohne die Domäneninformationen sendet. Wenn dies der Fall ist, führen Sie eine der folgenden Aktionen aus:
      1. Konfigurieren Sie den IdP zum Senden der Domäneninformationen.
      2. Authentifizieren Sie Benutzer ohne Domäneninformationen mit diesem Verfahren, vorausgesetzt, dass die Benutzernamen nicht domänenübergreifend dupliziert werden, um eine falsche Identifizierung zu vermeiden:
        1. Entfernen Sie alle außer Kraft setzen/Außerkraftsetzung Domänennamen, indem Sie zu folgendem Pfad navigieren:
          Gerät > Benutzeridentifikation > Gruppenzuordnungseinstellungen > [LDAP-Gruppenzuordnung] > Server-Profil > Domäneneinstellung > Benutzerdomäne: Löschen Sie alle Werte.
        2. Aktivieren Sie die Übereinstimmung von Benutzernamen ohne Domäneninformationen, indem Sie zu folgendem Pfad navigieren:
          Gerät > Benutzeridentifikation > Benutzerzuordnung > Palo Alto Networks Benutzer-ID > Agenten-Setup > Cache > Übereinstimmung Benutzernamen ohne Domänen zulassen : Aktivieren.
  2. Wenn der Benutzer/die Benutzergruppe aus dem LDAP nicht richtig von der Firewall abgerufen wird, verwenden Sie „ Neu hinzugefügte Active Directory (Aktives Verzeichnis - AD) Benutzer werden nicht auf der Firewall angezeigt“ .
  3. Wenn alles oben genannte zutrifft und der Fehler weiterhin besteht, versuchen Sie, die zwischengespeicherten Anmeldeinformationen von GlobalProtect zu löschen. Verwenden Sie dazu „Unter welchen Bedingungen können Benutzer die Option „Abmelden“ in der GlobalProtect App sehen?“ .

Additional Information


24.11.07 - Inhalte wurden von einem KMU im Resolution Path-Format erstellt.
DDE hat die Berechtigung für diesen Formattyp erteilt für: AIOps
Wenn Änderungen erforderlich sind, wenden Sie sich bitte an einen KDE, senden Sie eine Nachricht im Slack-Kanal #Knowledgebase oder E-Mail an gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgVFCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language