Comment faire correspondre une configuration d'agent du portail GlobalProtect à l'aide du groupe Active Directory (AD) et de la vérification

• Configuration de l'agent du portail GlobalProtect (Config) avec un groupe Active Directory (AD) (AD) sur une configuration d'agent de portail spécifique.
• La méthode d'authentification sur le portail peut être LDAP, une base de données d'utilisateurs locaux, SAML, etc. ou même une authentification basée sur un certificat.
• Dans cet exemple, l'authentification du portail se ferait via LDAP

• Pare-feu Palo Alto
• Système d'exploitation PAN pris en charge
• Portail GlobalProtect
• Authentification LDAP
• Mappage de groupe avec les groupes AD
• Application GlobalProtect (GP)

• Les paramètres de mappage de groupe sont basés sur une connexion LDAP à un serveur AD pour permettre au pare-feu de supprimer les groupes AD .
• Ces groupes AD peuvent être référencés dans GP Portal Agent Config pour pouvoir correspondre à un utilisateur authentifié GP qui fait partie d'un groupe AD .
• Quel que soit le type d’authentification utilisé, assurez-vous que le nom d'utilisateur fourni peut correspondre au nom d'utilisateur affiché dans le groupe AD .

• Avant de configurer les paramètres de mappage de groupe, assurez-vous que le profil du serveur LDAP est correctement configuré avec les champs obligatoires entourés en rouge ci-dessous. Interface utilisateur graphique : Appareil > Profils de serveur > LDAP

• Ensuite, configurer une nouvelle configuration de mappage de groupe ou utilisez une configuration existante ( gp dans cet exemple) associée au profil de serveur LDAP précédemment configuré et ajoutez le nom de domaine bear dans le champ Domaine utilisateur . Les champs restants peuvent être laissés par par défaut. Interface utilisateur : Appareil > Identification de l'utilisateur > Paramètres de mappage de groupe > profil de serveur

• Les valeurs des champs Nom d'utilisateur principal et Nom d'utilisateur secondaire 1 sont échangées dans l'onglet Attributs d'utilisateur et de groupe entourés en rouge ci-dessous. La raison de ce changement est de faire correspondre le nom d'utilisateur GP lors de la connexion à l' appli GP à l'aide de « userPrincipalName » ou autrement appelé format « UPN » «nom d'utilisateur». Interface utilisateur : Appareil > Identification de l'utilisateur > Paramètres de mappage de groupe > Attributs d'utilisateur et de groupe

• Une fois les étapes ci-dessus configurées et validées, exécutez la commande CLI de pare-feu suivante pour afficher les noms d'utilisateur principaux et secondaires. Le nom d'utilisateur principal est au format UPN « user1@bear.com » puisque le champ Nom d'utilisateur principal est défini sur « userPrincipalName » dans l'onglet Attributs d'utilisateur et de groupe des paramètres de mappage de groupe :

admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1

• REMARQUE : modifiez le modificateur de nom d'utilisateur du profil d'authentification sur « %USERINPUT%@%USERDOMAIN% » sous l'interface utilisateur : Périphérique > Profil d'authentification > Authentification » . Consultez l'article associé Comment les modificateurs de nom d'utilisateur d'authentification affectent les noms d'utilisateur .

• Si les groupes disponibles peuvent être développés dans l'onglet Liste d'inclusion de groupe En fonction des paramètres de mappage de groupe, on peut conclure que le profil du serveur LDAP fonctionne. Cliquez sur + ou - pour ajouter les groupes AD que vous souhaitez utiliser avec GP ou d'autres configurations de pare-feu .

• Après avoir configuré les étapes ci-dessus avec un valider, vérifiez les détails du groupe AD bear\vpn dans CLI de pare-feu à l'aide des commandes suivantes :

admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com

• Étant donné que les paramètres de mappage de groupe sont configurés et fonctionnent correctement, ajoutez une nouvelle configuration d'agent de portail GP ou modifiez-en une existante pour inclure le groupe AD bear\vpn dans le champ UTILISATEUR/GROUPE D'UTILISATEURS comme critères de correspondance , comme indiqué ci-dessous. Interface utilisateur graphique : Réseau > GlobalProtect > Portails > Agent

• Testez la configuration en vous connectant à appli GP avec « user1@bear.com ». La connexion au portail GP doit réussir et peut être vérifiée à l'aide des journaux GlobalProtect du pare-feu dans l'onglet Monitor sous la colonne Description qui affichera le nom de configuration correspondant : portal_gw . Le filtre de journal « ( portail neq gateway ) et ( eventid eq portal-getconfig ) » peut être utilisé pour afficher l'entrée de journal exacte. Interface utilisateur graphique : Monitor > Logs > GlobalProtect

• Une autre façon de vérifier la configuration correcte atteinte consiste à activer les débogages suivants avant que utilisateur ne se connecte à GP et à désactiver les débogages après que utilisateur ne parvient pas à obtenir la configuration dans CLI de pare-feu :

> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

À partir de PAN-OS 10.2, la collecte de GlobalProtect pour des utilisateurs spécifiques côté serveur peut être effectuée en activant le journal de suivi correspondance à un portail, une passerelle, un nom d'utilisateur ou une adresse IP source spécifiques

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]

• Une fois le débogage ci-dessus activé, demandez à l' utilisateur de tenter de se connecter, puis vérifiez le fichier journal suivant via la CLI dans le pare-feu pour les entrées de journal en surbrillance indiquant que le groupe AD correspond à la configuration correcte de l'agent du portail GP portal_gw :

> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1

• En ce qui concerne les journaux de l'application GlobalProtect sur l'ordinateur de l'utilisateur final, bien que le nom de configuration de l'agent du portail GP ne soit pas affiché, PanGPA.log affichera les détails des configurations au format XML indiqués dans cet article à l'étape 2.

Définir les configurations de l'agent GlobalProtect