Comment résoudre le problème « Configuration client correspondante introuvable »

Comment résoudre le problème « Configuration client correspondante introuvable »

21698
Created On 09/14/23 03:39 AM - Last Modified 01/07/25 02:30 AM


Objective


  • Lors de la configuration de GlobalProtect, un administrateur a la possibilité de définir les « critères de sélection de configuration » pour l'utilisateur/le groupe d'utilisateurs.
  • Par par défaut, ce paramètre est configuré sur « Tout », ce qui permet à n'importe quel utilisateur ou groupe de se connecter.
  • Cependant, lorsqu'un administrateur affine ces critères en spécifiant un utilisateur ou un groupe d'utilisateurs particulier, il est impératif que le nom d'utilisateur avec lequel le client GlobalProtect s'authentifie auprès du portail et/ou de la passerelle corresponde précisément aux informations sur l'utilisateur/le groupe d'utilisateurs extraites des serveurs LDAP .
  • L'un des principaux défis auxquels les administrateurs sont confrontés dans cette configuration est la variation du format utilisateur/groupe d'utilisateurs récupéré à partir des serveurs LDAP . Étant donné que LDAP peut représenter les utilisateurs et les groupes dans une multitude de formats, les combinaisons possibles peuvent sembler infinies. Cette diversité peut entraîner des incohérences entre le nom d'utilisateur ou le nom de groupe attendu et les informations sur les serveurs LDAP .
  • En outre, un autre problème potentiel se pose si l'utilisateur/groupe d'utilisateurs spécifié dans la configuration GlobalProtect ne possède pas de nom d'utilisateur correspondant dans le système. Cette différence peut entraîner un échec de connexion et restreindre l'accès aux utilisateurs qui devraient autrement disposer d'autorisations.
  • Dans cet article, en référençant divers articles, nous cherchons à identifier et à relever ces défis, en proposant des conseils pour les résoudre.

Environment


  • Client GlobalProtect
  • Portail GlobalProtect
  • Passerelle GlobalProtect
  • Serveur LDAP
  • SAML

Procedure


  1. Configuration
    1. L'utilisation de la connexion GlobalProtect échoue avec l'erreur « Configuration client correspondante introuvable » pour développer davantage l'objectif de cet article.
    2. Pour identifier les divergences entre le format du nom d'utilisateur utilisé par le client GlobalProtect et celui récupéré à partir du serveur LDAP , reportez-vous à GlobalProtect n'obtient pas la configuration lorsque utilisateur s'authentifie avec succès sur le portail .
    3. Si un système utilise le format « domaine\ nom d'utilisateur» ou « domaine\ utilisateur», tandis que l'autre utilise «utilisateur@domaine.com » ou «utilisateur@domaine », consultez le guide Comment récupérer le mappage de groupe en fonction du format SAM ou UPN pour résoudre la divergence.
    4. Vérifiez si le fournisseur d'identité (IdP) dans SAML envoie uniquement l'attribut nom d'utilisateur sans les informations de domaine. Si tel est le cas, implémentez l'une des actions suivantes :
      1. Configurez l'IdP pour envoyer les informations du domaine.
      2. Authentifiez les utilisateurs sans informations de domaine à l'aide de cette procédure, à condition que les noms d'utilisateur ne soient pas dupliqués sur plusieurs domaines pour éviter toute erreur d'identification :
        1. Supprimez tout nom de domaine de remplacer en accédant à :
          Appareil > Identification de l'utilisateur > Paramètres de mappage de groupe > [LDAP-GroupMapping ] > profil de serveur > Paramètre de domaine > Domaine utilisateur : effacez toutes les valeurs.
        2. Activez la correspondance des noms d'utilisateur sans informations de domaine en accédant à :
          Appareil > Identification de l'utilisateur > Mappage de l'utilisateur > ID utilisateur Palo Alto Networks > Configuration de l'agent > Cache > Autoriser les noms d'utilisateur correspondance sans domaines : cochez.
  2. Si l'utilisateur/groupe d'utilisateurs du LDAP n'est pas correctement extrait par le pare-feu, utilisez Les utilisateurs Active Directory nouvellement Active Directory (AD) n'apparaissent pas sur le pare-feu .
  3. Si tout ce qui précède semble être en place et que l'erreur persiste, essayez de supprimer les informations d'identification mises en cache de GlobalProtect à l'aide de Dans quelles conditions les utilisateurs peuvent-ils voir l'option Déconnexion dans l' application GlobalProtect ?

Additional Information


07/11/24 - Le contenu a été créé par une PME dans un format Resolution Path
DDE a accordé l'autorisation pour ce type de format pour : AIOps
Si des modifications sont nécessaires, veuillez contacter un KDE ou un message dans le canal Slack #Knowledgebase, ou e-mail, messagerie à gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgVFCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language