So passen Sie eine GlobalProtect Portal Agent-Konfiguration mithilfe der Active Directory (Aktives Verzeichnis - AD) -Gruppe und der Überprüfung an

• GlobalProtect Portal Agent-Konfiguration (Config) mit einer Active Directory (Aktives Verzeichnis - AD) Gruppe (AD) auf einer bestimmten Portal Agent-Konfiguration.
• Als Authentifizierungsmethode auf dem Portal kann LDAP, eine lokale Datenbank, SAML usw. oder sogar eine zertifikatsbasierte Authentifizierung dienen.
• In diesem Beispiel erfolgt die Portalauthentifizierung über LDAP

• Palo Alto-Firewalls
• Unterstützte PAN-OS
• GlobalProtect Portal
• LDAP Authentifizierung
• Gruppen-Mapping mit AD Gruppen
• GlobalProtect (GP) App

• Die Gruppenzuordnungseinstellungen basieren auf einer LDAP Verbindung zu einem AD -Server, um der Firewall das Herunterladen von AD Gruppen zu ermöglichen.
• Auf diese AD Gruppen kann in der GP Portal Agent Config verwiesen werden, um einen GP-authentifizierten Benutzer zuordnen zu können, der Teil einer AD -Gruppe ist.
• Stellen Sie unabhängig vom verwendeten Authentifizierungstyp sicher, dass der angegebene Benutzername mit dem Benutzername in der AD Gruppe übereinstimmt.

• Stellen Sie vor dem Konfigurieren der Gruppenzuordnungseinstellungen sicher, dass das LDAP Profil korrekt konfiguriert ist und die erforderlichen Felder unten rot eingekreist sind. GUI: Gerät > Serverprofile > LDAP

• konfigurieren als Nächstes eine neue oder verwenden Sie eine vorhandene Konfiguration (in diesem Beispiel gp ), die mit einem zuvor konfigurierten LDAP Profil verknüpft ist, und fügen Sie den Domänennamen bear im Feld „Benutzerdomäne“ hinzu. Die übrigen Felder können als Standard(-) belassen werden. GUI: Gerät > Benutzeridentifikation > Gruppenzuordnungseinstellungen > Server-Profil

• Die Werte für die Felder „Primärer Benutzername“ und „Alternativer Benutzername 1“ werden in der Registerkarte „ Benutzer- und Gruppenattribute “ vertauscht, die unten rot eingekreist ist. Der Grund für diese Änderung besteht darin, dass der GP Benutzername beim Anmelden bei der GP App mit „userPrincipalName“ oder dem anderen „UPN“-Format „Benutzername@domain.com“ abgeglichen werden soll. GUI: Gerät > Benutzeridentifikation > Gruppenzuordnungseinstellungen > Benutzer- und Gruppenattribute

• Sobald die obigen Schritte konfiguriert und bestätigt sind, führen Sie den folgenden Firewall CLI-Befehl aus, um die primären und alternativen Benutzernamen anzuzeigen. Der primäre Benutzername hat das UPN-Format „user1@bear.com“, da das Feld „Primärer Benutzername“ auf der Registerkarte „ Benutzer- und Gruppenattribute “ der Gruppenzuordnungseinstellungen auf „userPrincipalName“ eingestellt ist:

admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1

• HINWEIS: Ändern Sie den Benutzername des Authentifizierungsprofil in „ %USERINPUT%@%USERDOMAIN% unter GUI: Gerät > Authentifizierungsprofil > Authentifizierung “ . Siehe verwandten Artikel Wie sich Benutzername für die Authentifizierung auf Benutzernamen auswirken .

• Wenn verfügbare Gruppen in der Registerkarte „Gruppeneinschlussliste“ erweitert werden können der Gruppenzuordnungseinstellungen kann geschlossen werden, dass das LDAP Profil funktioniert. Klicken Sie auf + oder - , um AD Gruppe(n) hinzuzufügen, die mit GP oder anderen Firewall Konfigurationen verwendet werden sollen.

• Nachdem Sie die obigen Schritte mit einem ausführen konfiguriert haben, überprüfen Sie die Details der AD Gruppe „bear\vpn“ in der Firewall CLI mit den folgenden Befehlen:

admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com

• Da die Gruppenzuordnungseinstellungen konfiguriert sind und ordnungsgemäß funktionieren, fügen Sie entweder eine neue GP Portal Agent-Konfiguration hinzu oder ändern Sie eine vorhandene, um die Bear\VPN- AD Gruppe im Feld USER/USER GROUP als Übereinstimmungskriterien einzuschließen, wie unten dargestellt. GUI: Netzwerk > GlobalProtect > Portale > Agent

• Testen Sie die Konfiguration , indem Sie sich mit „user1@bear.com“ bei der GP App anmelden. Die Verbindung zum GP-Portal sollte erfolgreich sein und kann mithilfe der GlobalProtect- Protokolle der Firewall auf der Registerkarte „ Monitor“ in der Spalte „Beschreibung “ überprüft werden, in der der übereinstimmende Konfigurationsname angezeigt wird: portal_gw . Mit den Protokollfiltern „ ( Portal neq gateway)“ und „(eventid eq portal-getconfig) “ können Sie den genauen Protokolleintrag anzeigen. GUI: Monitor > Protokolle > GlobalProtect

• Eine andere Möglichkeit zum Überprüfen der richtigen Konfiguration besteht darin, die folgenden Debugs zu aktivieren, bevor der Benutzer eine Verbindung zu GP herstellt, und die Debugs zu deaktivieren, wenn der Benutzer die Konfiguration nicht in der Firewall CLI abrufen kann:

> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

Ab PAN-OS 10.2 kann das Sammeln von GlobalProtect für bestimmte Benutzer von der Serverseite aus erfolgen, indem ein Ablaufverfolgungsprotokoll aktiviert wird, das mit einem bestimmten Portal, Gateway, Benutzername oder einer Quell-IP-Adresse Übereinstimmung .

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]

• Nachdem das obige Debugging aktiviert wurde, lassen Sie den Benutzer versuchen, eine Verbindung herzustellen und dann die folgende Protokolldatei über die CLI in der Firewall auf die hervorgehobenen Protokolleinträge überprüfen, die die Übereinstimmung der AD -Gruppe mit der richtigen GP Portal Agent-Konfiguration „portal_gw“ anzeigen:

> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1

• Was die GlobalProtect-App-Protokolle auf dem Computer des Endbenutzers betrifft: Obwohl der GP Portal Agent-Konfigurationsname nicht angezeigt wird, zeigt PanGPA.log die Details der Konfigurationen im XML-Format an, die in diesem Artikel in Schritt 2 gezeigt werden.

Definieren Sie die GlobalProtect Agent-Konfigurationen