'일치하는 클라이언트 구성을 찾을 수 없음' 문제를 해결하는 방법

'일치하는 클라이언트 구성을 찾을 수 없음' 문제를 해결하는 방법

21550
Created On 09/14/23 03:39 AM - Last Modified 01/07/25 02:37 AM


Objective


  • GlobalProtect를 구성할 때 관리자 사용자/사용자 그룹에 대한 ' 구성 선택 기준 '을 설정할 수 있습니다.
  • 디폴트 으로 이 설정은 '모두'로 구성되어 있어 모든 사용자 또는 그룹이 연결할 수 있습니다.
  • 그러나 관리자 특정 사용자 또는 사용자 그룹을 지정하여 이러한 기준을 좁힐 때 GlobalProtect 클라이언트가 포털 및/또는 게이트웨이에 인증하는 데 사용하는 사용자명 LDAP 서버에서 추출된 사용자/사용자 그룹 정보와 정확하게 일치해야 합니다.
  • 이 구성 에서 관리자가 직면하는 중요한 과제 중 하나는 LDAP 서버에서 검색된 사용자/사용자 그룹 형식의 차이입니다. LDAP 사용자와 그룹을 다양한 형식으로 표현할 수 있으므로 가능한 조합은 무한해 보일 수 있습니다. 이러한 다양성으로 인해 예상 사용자명 또는 그룹 이름과 LDAP 서버의 정보 간에 불일치가 발생할 수 있습니다.
  • 또한 GlobalProtect 구성 에 지정된 정확한 사용자/사용자 그룹이 시스템에 해당 사용자명 가지고 있지 않으면 또 다른 잠재적인 문제가 발생합니다. 이러한 불일치로 인해 연결 실패가 발생하고 그렇지 않으면 권한이 있어야 할 사용자의 액세스가 제한될 수 있습니다.
  • 이 글에서는 다양한 기사를 참조하여 이러한 과제를 정확히 파악하고 이를 해결하기 위한 지침을 제공하고자 합니다.

Environment


  • GlobalProtect 클라이언트
  • 글로벌 프로텍트 포털
  • GlobalProtect 게이트웨이
  • LDAP 서버
  • 영어: SAML은 영어가 아닙니다.

Procedure


  1. 구성
    1. 이 문서의 목적을 더 자세히 설명하려면 GlobalProtect 연결이 "일치하는 클라이언트 구성을 찾을 수 없습니다" 오류로 실패합니다 .
    2. GlobalProtect 클라이언트에서 사용하는 사용자명 형식과 LDAP 서버에서 검색한 사용자 이름 형식 간의 불일치 사항을 식별하려면 사용자 포털 에 성공적으로 인증해도 GlobalProtect가 구성 가져오지 못합니다 를 참조하세요.
    3. 한 시스템이 "domain\ 사용자명" 또는 "domain\ 사용자" 형식을 사용하는 반면 다른 시스템은 "사용자@domain.com" 또는 "사용자@domain"을 사용하는 경우, 불일치 사항을 해결하려면 SAM 또는 UPN 형식에 따라 그룹 매핑(group mapping) 검색하는 방법 가이드를 참조하세요.
    4. SAML의 ID 공급자(IdP)가 도메인 정보 없이 사용자명 속성만 전송하는지 확인합니다. 그렇다면 다음 작업 중 하나를 구현합니다.
      1. 도메인 정보를 전송하도록 IdP를 구성합니다.
      2. 잘못된 식별을 방지하기 위해 사용자 이름이 도메인 간에 중복되지 않는 경우 다음 절차를 사용하여 도메인 정보 없이 사용자를 인증합니다.
        1. 다음으로 이동하여 재정의 도메인 이름을 오버리드(override) 하세요.
          장치 > 사용자 식별 > 그룹 매핑 설정 > [LDAP- 그룹 매핑] > 서버 프로파일 > 도메인 설정 > 사용자 도메인: 모든 값을 지웁니다.
        2. 도메인 정보 없이 사용자 이름 매칭 활성화하려면 다음으로 이동하세요.
          장치 > 사용자 식별 > 사용자 매핑 > Palo Alto Networks 사용자 ID > 에이전트 설정 > 캐시 > 도메인 없이 사용자 이름 매칭 허용 : 선택.
  2. LDAP 의 사용자/사용자 그룹이 방화벽 에서 제대로 가져오지 못하면 새로 추가된 Active Directory 사용자가 방화벽에 나타나지 않습니다 .
  3. 위에 나열한 사항을 모두 적용했는데도 오류가 지속되는 경우 GlobalProtect 앱 에서 사용자가 로그아웃 옵션을 볼 수 있는 조건은 무엇인가요?를 사용하여 GlobalProtect의 캐시된 자격 증명을 삭제해보세요.

Additional Information


07/11/24 - SME가 Resolution Path 형식으로 콘텐츠를 생성했습니다.
DDE는 AIOps에 대해 이 형식 유형에 대한 권한을 부여했습니다.
변경 사항이 필요한 경우 KDE에 문의하거나 #Knowledgebase Slack 채널에서 메시지를 보내거나 gcs-knowledge@paloaltonetworks.com 이메일 주세요.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgVFCA0&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language