Active Directory 그룹 및 Verify를 사용하여 GlobalProtect Portal Agent 구성을 일치시키는 방법

• 특정 포털 에이전트 구성의 Active Directory (AD) 그룹을 사용한 GlobalProtect 포털 에이전트 구성(Config)
• 포털의 인증 방법으로는 LDAP, 로컬 사용자 데이터베이스, SAML 등이 있으며, 인증서 기반 인증도 가능합니다.
• 이 예에서 포털 인증은 LDAP 통해 이루어집니다.

• 팔로 알토 방화벽
• 지원되는 PAN-OS
• 글로벌 프로텍트 포털
• LDAP 인증
• AD 그룹을 사용한 그룹 매핑
• GlobalProtect (GP) 앱

• 그룹 매핑 설정은 방화벽 AD 그룹을 끌어올 수 있도록 AD 서버에 대한 LDAP 연결을 기반으로 합니다.
• 이러한 AD 그룹은 GP 포털 에이전트 구성에서 참조하여 AD 그룹에 속한 GP 인증 사용자 일치시킬 수 있습니다.
• 사용된 인증 유형과 관계없이 제공된 사용자명 AD 그룹에 표시된 사용자명 과 일치하는지 확인하세요.

• 그룹 매핑 설정을 구성하기 전에 LDAP 서버 프로파일 아래에서 빨간색으로 표시된 필수 필드와 함께 올바르게 구성되었는지 확인하십시오. GUI: 장치 > 서버 프로필 > LDAP

• 다음으로, 이전에 구성된 LDAP 서버 프로파일 과 연관된 새 그룹 매핑 구성 (이 예에서는 gp )을 구성 하거나 기존 그룹 매핑 구성을 사용하고 사용자 도메인 필드에 도메인 이름 bear을 추가합니다. 나머지 필드는 디폴트 으로 둘 수 있습니다. GUI: 장치 > 사용자 식별 > 그룹 매핑 설정 > 서버 프로파일

• 기본 사용자 이름 및 대체 사용자 이름 1 필드의 값은 아래에 빨간색으로 표시된 사용자 및 그룹 속성 탭에서 바뀝니다. 이 변경의 이유는 'userPrincipalName' 또는 'UPN' 형식인 ' 사용자명 '을 사용하여 GP 앱 에 로그인할 때 GP 사용자명 일치시키기 위한 것입니다. GUI: 장치 > 사용자 식별 > 그룹 매핑 설정 > 사용자 및 그룹 속성

• 위의 단계가 구성되고 커밋되면 다음 방화벽 CLI 커맨드 실행하여 기본 및 대체 사용자 이름을 표시합니다. 기본 사용자명 UPN 형식 'user1@bear.com'입니다. 그룹 매핑 설정의 사용자 및 그룹 속성 탭에서 기본 사용자 이름 필드가 'userPrincipalName'으로 설정되어 있기 때문입니다.

admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1

• 참고: 인증 프로파일 사용자명 수정자를 "GUI: 장치 > 인증 프로필 > 인증 "에서 " %USERINPUT%@%USERDOMAIN% "로 수정합니다 . 관련 문서 인증 사용자명 수정자가 사용자 이름에 미치는 영향을 참조하세요.

• 사용 가능한 경우 그룹은 그룹 포함 목록 탭에서 확장할 수 있습니다. 그룹 매핑 설정의 경우 LDAP 서버 프로파일 작동 중이라는 결론을 내릴 수 있습니다. + 또는 -를 클릭하여 GP 또는 기타 방화벽 구성과 함께 사용하려는 AD 그룹을 추가합니다.

• 위 단계를 commit 하여 구성한 후 다음 명령을 사용하여 방화벽 CLI 에서 AD 그룹 bear\vpn 세부 정보를 확인하세요.

admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com

• 그룹 매핑 설정이 올바르게 구성되고 작동 중이므로 새 GP 포털 에이전트 구성을 추가하거나 기존 GP 포털 에이전트 구성을 수정하여 아래에서 볼 수 있듯이 일치 기준 으로 bear\vpn AD 그룹을 USER/USER GROUP 필드에 포함시킵니다. GUI: 네트워크 > GlobalProtect > 포털 > 에이전트

• 'user1@bear.com'으로 GP 앱 에 로그인하여 구성 테스트합니다. GP Portal 연결은 성공적이어야 하며, 설명 열 아래 모니터 탭에서 방화벽의 GlobalProtect 로그를 사용하여 확인할 수 있습니다. 여기에는 일치하는 구성 이름인 portal_gw가 표시됩니다. 로그 필터 " ( 포털 neq gateway) 및 (eventid eq portal-getconfig) " 를 사용하여 정확한 로그 항목을 표시할 수 있습니다. GUI: Monitor > Logs > GlobalProtect

• 올바른 구성 적용되었는지 확인하는 또 다른 방법은 사용자 GP에 연결하기 전에 다음 디버그를 활성화하고 사용자 방화벽 CLI 에서 구성 가져오지 못한 후에는 디버그를 비활성화하는 것입니다.

> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

PAN-OS 10.2부터 서버 측에서 특정 사용자에 대한 GlobalProtect 수집은 특정 포털, 게이트웨이, 사용자명 또는 소스 IP 주소 매칭 추적 로그를 활성화하여 수행할 수 있습니다.

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]

• 위의 디버그가 활성화된 후 사용자 연결을 시도하게 한 다음 방화벽 의 CLI 를 통해 다음 로그 파일에서 AD 그룹이 올바른 GP 포털 에이전트 구성 portal_gw 와 일치함을 나타내는 강조 표시된 로그 항목을 확인합니다.

> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1

• 최종 사용자 컴퓨터의 GlobalProtect 앱 로그와 관련하여 GP Portal Agent 구성 이름은 표시되지 않지만 PanGPA.log는 이 문서 의 2단계에서 표시된 XML 형식으로 구성의 세부 정보를 표시합니다.

GlobalProtect 에이전트 구성 정의