Cómo hacer coincidir una configuración de agente del portal de GlobalProtect mediante un grupo de Active Directory (Directorio Activo - AD) y verificar

• Configuración del agente del portal de GlobalProtect (Config) con un grupo de Active Directory (Directorio Activo - AD) (AD) en una configuración del agente del portal específica.
• El método de autenticación en el portal puede ser LDAP, base de datos de usuario local, SAML, etc. o incluso autenticación basada en certificado.
• En este ejemplo, la autenticación del portal se realizaría mediante LDAP.

• Cortafuegos de Palo Alto
• Sistema operativo PAN compatible
• Portal de GlobalProtect
• Autenticación LDAP
• Mapeo de grupos con grupos de AD
• Aplicación GlobalProtect (GP)

• La configuración de mapeo de grupos se basa en la conexión LDAP a un servidor AD para permitir que el cortafuegos elimine los grupos de AD .
• Se puede hacer referencia a estos grupos de AD en la configuración del agente del portal GP para poder hacer coincidir un usuario autenticado de GP que sea parte de un grupo de AD .
• Independientemente del tipo de autenticación utilizado, asegúrese de que el nombre de usuario proporcionado pueda coincidir con el nombre de usuario que se ve en el grupo de AD .

• Antes de configurar los ajustes de asignación de grupos, asegúrese de que el perfil del servidor LDAP esté configurado correctamente con los campos obligatorios marcados en rojo a continuación. GUI: Dispositivo > Perfiles de servidor > LDAP

• A continuación, configurar una nueva configuración de mapeo de grupos o utilice una existente ( gp en este ejemplo) asociada con el perfil de servidor LDAP configurado previamente y agregue el nombre de dominio bear en el campo Dominio de usuario . Los campos restantes se pueden dejar como valor predeterminado. GUI: Dispositivo > Identificación de usuario > Configuración de mapeo de grupos > Perfil de servidor

• Los valores de los campos Nombre de usuario principal y Nombre de usuario alternativo 1 se intercambian en la pestaña Atributos de usuario y grupo que se encuentra en un círculo rojo a continuación. El motivo de este cambio es que coincida con el nombre de usuario de GP al iniciar sesión en la aplicación GP con 'userPrincipalName' o también llamado formato 'UPN' ' nombre de usuario@dominio.com'. GUI: Dispositivo > Identificación de usuario > Configuración de mapeo de grupo > Atributos de usuario y grupo

• Una vez que se hayan configurado y confirmado los pasos anteriores, ejecute el siguiente comando de CLI del cortafuegos para mostrar los nombres de usuario principal y alternativo. El nombre de usuario principal tiene el formato UPN 'user1@bear.com', ya que el campo Nombre de usuario principal está configurado como 'userPrincipalName' en la pestaña Atributos de usuario y grupo de la configuración de Asignación de grupos:

admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1

• NOTA: Modifique el modificador de nombre de usuario del perfil de autenticación a " %USERINPUT%@%USERDOMAIN% en la GUI: Dispositivo > Perfil de autenticación > Autenticación " . Consulte el artículo relacionado Cómo los modificadores de nombre de usuario de autenticación afectan los nombres de usuario .

• Si los grupos disponibles se pueden expandir en la pestaña Lista de inclusión de grupos De la configuración de mapeo de grupos, se puede concluir que el perfil del servidor LDAP está funcionando. Haga clic en + o - para agregar los grupos de AD que desea utilizar con GP u otras configuraciones de cortafuegos .

• Después de configurar los pasos anteriores con una compilar, verifique los detalles del grupo AD bear\vpn en la CLI del cortafuegos usando los siguientes comandos:

admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com

• Dado que la configuración de mapeo de grupos está configurada y funciona correctamente, agregue una nueva configuración de agente de portal GP o modifique una existente para incluir el grupo de AD bear\vpn en el campo USUARIO/GRUPO DE USUARIOS como criterios de coincidencia , como se muestra a continuación. GUI: Red > GlobalProtect > Portales > Agente

• Pruebe la configuración iniciando sesión en la aplicación GP con 'user1@bear.com'. La conexión al portal GP debería ser exitosa y se puede verificar usando los registros de GlobalProtect del firewall en la pestaña Monitor , debajo de la columna Descripción , que mostrará el nombre de configuración correspondiente: portal_gw . Se puede usar el filtro de registro " ( portal neq gateway ) y ( eventid eq portal-getconfig ) " para mostrar la entrada de registro exacta. GUI: Monitor > Registros > GlobalProtect

• Otra forma de verificar que se esté obteniendo la configuración correcta es habilitar las siguientes depuraciones antes de que el usuario se conecte a GP y deshabilitarlas después de que el usuario no pueda obtener la configuración en la CLI del cortafuegos :

> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

A partir de PAN-OS 10.2, la recopilación de GlobalProtect para usuarios específicos desde el lado del servidor se puede realizar habilitando el registro de seguimiento que coincidente con un portal, una puerta de enlace, un nombre de usuario o una dirección IP de origen específicos.

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]

• Una vez habilitada la depuración anterior, haga que el usuario intente conectarse y luego verifique el siguiente archivo de registro a través de la CLI en el cortafuegos para ver las entradas de registro resaltadas que indican que el grupo de AD coincide con la configuración correcta del agente del portal GP portal_gw :

> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1

• En cuanto a los registros de la aplicación GlobalProtect en la computadora del usuario final, aunque no se muestra el nombre de configuración del agente del portal GP, PanGPA.log mostrará los detalles de las configuraciones en formato XML que se muestran en este artículo en el Paso 2.

Definir las configuraciones del agente GlobalProtect