如何解决“未找到匹配的客户端配置”问题
21571
Created On 09/14/23 03:39 AM - Last Modified 01/07/25 02:36 AM
Objective
- 配置 GlobalProtect 时,管理员可以选择为用户/用户组设置“ 配置选择标准”。
- 默认下,此设置配置为“任何”,允许任何用户或组连接。
- 但是,当管理员通过指定特定用户或用户组来缩小此标准时,GlobalProtect 客户端向门户和/或网关进行身份验证的用户名必须与从LDAP服务器中提取的用户/用户组信息完全匹配。
- 管理员在此配置中面临的一个重大挑战是从LDAP服务器检索到的用户/用户组格式的差异。由于LDAP可以以多种格式表示用户和组,因此可能的组合似乎无穷无尽。这种多样性可能导致预期的用户名或组名与LDAP服务器上的信息不匹配。
- 此外,如果 GlobalProtect配置中指定的确切用户/用户组在系统中没有相应的用户名,则会出现另一个潜在问题。这种差异可能会导致连接失败,并限制原本应该拥有权限的用户的访问。
- 在本文中,通过参考各种文章,我们旨在查明和应对这些挑战,并提供解决指导。
Environment
- GlobalProtect 客户端
- GlobalProtect 门户
- GlobalProtect 网关
- LDAP服务器
- SAML
Procedure
- 配置
- 使用GlobalProtect 连接失败并出现错误“未找到匹配的客户端配置”以进一步扩展本文的目标。
- 要识别 GlobalProtect 客户端使用的用户名格式与从LDAP服务器检索到的用户名格式之间的差异,请参阅当用户成功通过门户身份验证时 GlobalProtect 未获取配置。
- 如果一个系统使用“域\用户名”或“域\用户”格式,而另一个系统使用“用户@domain.com”或“用户@domain”,请查阅指南如何根据 SAM 或 UPN 格式检索组映射来解决差异。
- 验证 SAML 中的身份提供商 (IdP) 是否仅发送用户名属性而不发送域信息。如果是,请执行以下操作之一:
- 配置 IdP 以发送域信息。
- 使用此过程对没有域信息的用户进行身份验证,前提是用户名在域之间不重复,以避免错误识别:
- 通过导航至以下位置删除任何覆盖域名:
设备 > 用户识别 > 组映射设置 > [LDAP-GroupMapping] >服务器配置文件> 域设置 > 用户域:清除任何值。 - 通过导航至以下位置启用不包含域信息的用户名匹配:
设备 > 用户标识 > 用户映射 > Palo Alto Networks用户 ID > 代理设置 > 缓存>允许匹配没有域的用户名:选中。
- 通过导航至以下位置删除任何覆盖域名:
- 如果防火墙没有正确提取LDAP中的用户/用户组,则使用“新添加的Active Directory(活动目录-AC)用户不会出现在防火墙上” 。
- 如果以上所有操作似乎均已完成但错误仍然存在,请尝试使用在什么条件下用户可以在GlobalProtect 应用程序中看到“退出”选项删除 GlobalProtect 的缓存凭据。
Additional Information
07/11/24 - 中小企业已以解决路径格式创建内容
DDE 已授予以下用户对此格式类型的权限:AIOps
如果需要任何更改,请联系 KDE 或在 #Knowledgebase Slack 频道中留言,或电子邮件gcs-knowledge@paloaltonetworks.com