「一致するクライアント構成が見つかりません」のトラブルシューティング方法

「一致するクライアント構成が見つかりません」のトラブルシューティング方法

21690
Created On 09/14/23 03:39 AM - Last Modified 01/07/25 02:34 AM


Objective


  • GlobalProtect を構成する際、管理者はユーザー/ユーザー グループの「 構成選択基準」を設定するオプションがあります。
  • デフォルトでは、この設定は「任意」に設定されており、すべてのユーザーまたはグループが接続できます。
  • ただし、管理者が特定のユーザーまたはユーザー グループを指定してこの基準を絞り込む場合、GlobalProtect クライアントがポータルやゲートウェイに対して認証するユーザー名が、 LDAPサーバーから抽出されたユーザー/ユーザー グループ情報と正確に一致していることが不可欠です。
  • この設定で管理者が直面する大きな課題の 1 つは、 LDAPサーバーから取得されるユーザー/ユーザー グループ形式のばらつきです。LDAPはユーザーとグループをさまざまな形式で表すことができるため、考えられる組み合わせは無限に思えます。この多様性により、予想されるユーザー名名またはグループ名とLDAPサーバー上の情報との間に不一致が生じる可能性があります。
  • さらに、GlobalProtect設定で指定された正確なユーザー/ユーザー グループがシステム内に対応するユーザー名を持っていない場合、別の潜在的な問題が発生する可能性があります。この不一致により、接続が失敗し、本来権限を持つべきユーザーのアクセスが制限される可能性があります。
  • この記事では、さまざまな記事を参考にしながら、これらの課題を特定して対処し、解決のためのガイダンスを提供することを目指しています。

Environment


  • GlobalProtect クライアント
  • GlobalProtectポータル
  • グローバルプロテクトゲートウェイ
  • LDAPサーバー
  • サムエル

Procedure


  1. 構成
    1. この記事の目的をさらに詳しく説明するには、「GlobalProtect 接続が失敗し、エラー「一致するクライアント構成が見つかりません」が発生する」を参照してください。
    2. GlobalProtect クライアントが使用するユーザー名の形式とLDAPサーバーから取得されるユーザー名の形式との不一致を識別するには、 「ユーザーがポータルに正常に認証されたときに GlobalProtect が設定を取得しない」を参照してください。
    3. 一方のシステムで「domain\ ユーザー名」または「domain\ ユーザー」形式が使用され、もう一方のシステムで「ユーザー@domain.com」または「ユーザー@domain」形式が使用されている場合は、 「SAM または UPN 形式に基づいてグループ マッピングを取得する方法」ガイドを参照して、不一致に対処してください。
    4. SAML の ID プロバイダー (IdP) がドメイン情報なしでユーザー名属性のみを送信しているかどうかを確認します。その場合は、次のいずれかのアクションを実装します。
      1. ドメイン情報を送信するように IdP を構成します。
      2. 誤認を避けるためにユーザー名がドメイン間で重複していないことを条件として、この手順を使用してドメイン情報なしでユーザーを認証します。
        1. 次の場所に移動して、オーバーライドドメイン名を削除します。
          デバイス > ユーザー識別 > グループ マッピング設定 > [LDAP-GroupMapping] >サーバ プロファイル> ドメイン設定 > ユーザー ドメイン:すべての値をクリアします。
        2. 次の場所に移動して、ドメイン情報のないユーザー名の一致を有効にします。
          デバイス > ユーザー識別 > ユーザー マッピング > Palo Alto Networksユーザー ID > エージェント設定 > キャッシュ> ドメインなしで一致ユーザー名を許可:チェック。
  2. LDAPからのユーザー/ユーザー グループがファイアウォールによって適切に取得されない場合は、「 新しく追加されたActive Directory (アクティブディレクトリー - AD )ユーザーがファイアウォールに表示されない」を参照してください
  3. 上記のすべてを実行してもエラーが解消されない場合は、 「 GlobalProtectアプリケーション内でユーザーにサインアウト オプションが表示される条件」を使用して、GlobalProtect のキャッシュされた資格情報を削除してみてください

Additional Information


07/11/24 - SME によって解決パス形式でコンテンツが作成されました
DDE は、この形式タイプに対する権限を AIOps に付与しました。
変更が必要な場合は、KDE ​​に連絡するか、#Knowledgebase Slack チャネルにメッセージを送信するか、 gcs-knowledge@paloaltonetworks.comに電子メール。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgVFCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language