如何使用Active Directory（活动目录-AC）组匹配 GlobalProtect 门户代理配置并验证

• GlobalProtect 门户代理配置（配置）与特定门户代理配置上的Active Directory（活动目录-AC） （AD）组。
• 门户上的身份验证方法可以是LDAP、本地用户数据库、SAML 等，甚至是基于证书的身份验证。
• 在此示例中，门户身份验证将通过LDAP

• Palo Alto 防火墙
• 支持的 PAN OS
• GlobalProtect 门户
• LDAP身份验证
• 使用AD组进行组映射
• GlobalProtect (GP) 应用程序

• 组映射设置基于与AD服务器的LDAP连接，以使防火墙能够拉下AD组。
• 这些AD组可以在 GP Portal Agent Config 中引用，以便能够匹配属于AD组的 GP 认证用户。
• 无论使用的身份验证类型如何，请确保提供的用户名能够与AD组中看到的用户名匹配。

• 在配置组映射设置之前，请确保LDAP服务器配置文件已正确配置，并且必填字段在下面用红色圈出。GUI：设备 > 服务器配置文件 > LDAP

• 接下来，配置一个新的或使用现有的与先前配置的LDAP服务器配置配置文件关联的组映射配置（本例中为gp ），并在用户域字段中添加域名bear 。其余字段可以保留为默认。GUI：设备 > 用户标识 > 组映射设置 >服务器配置文件

• 主用户名和备用用户名 1字段的值在下面用红色圈出的用户和组属性选项卡中交换。进行此更改的原因是为了在使用“userPrincipalName”或其他称为“UPN”格式“ 用户名 ”登录 GPapp时匹配 GP用户名。GUI：设备 > 用户标识 > 组映射设置 > 用户和组属性

• 配置并提交上述步骤后，运行以下防火墙CLI 命令以显示主用户名和备用用户名。主用户名采用 UPN 格式“user1@bear.com”，因为在组映射设置的用户和组属性选项卡中，主用户名字段设置为“userPrincipalName”：

admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1

• 注意：将身份验证配置文件用户名修饰符修改为“GUI 下的%USERINPUT%@%USERDOMAIN% ：设备 > 身份验证配置文件 > 身份验证” 。请参阅相关文章身份验证用户名修饰符如何影响用户名。

• 如果可以在“组包含列表”选项卡中展开“可用组” 组映射设置，可以断定LDAP服务器配置文件正在运行。单击+或-添加要与 GP 或其他防火墙配置一起使用的AD组。

• 使用提交配置上述步骤后，使用以下命令在防火墙CLI中验证AD组bear\vpn详细信息：

admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com

• 由于组映射设置已配置并正常工作，请添加新的或修改现有的 GP 门户代理配置，以将bear\vpn AD组包含在用户/用户组字段中作为匹配标准，如下所示。GUI：网络 > GlobalProtect > 门户 > 代理

• 通过使用“user1@bear.com”登录 GPapp来测试配置。GP 门户连接应该成功，可以使用防火墙的GlobalProtect日志在“描述”列下的“监控”选项卡中进行验证，该日志将显示匹配的配置名称： portal_gw 。日志过滤器“ （ 门户 neq gateway）和（eventid eq portal-getconfig） ”可用于显示准确的日志条目。GUI：监控 > 日志 > GlobalProtect

• 验证是否命中正确配置的另一种方法是，在用户连接到 GP 之前启用以下调试，并在用户无法在防火墙CLI中获取配置后禁用调试：

> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

从 PAN OS 10.2 开始, 可以通过启用匹配特定门户、网关、用户名或源 ip 地址的跟踪日志来从服务器端收集特定用户的 GlobalProtect

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]

• 启用上述调试后，让用户尝试连接，然后通过防火墙中的CLI检查以下日志文​​件，查找突出显示的日志条目，指示AD组与正确的 GP 门户代理配置portal_gw匹配：

> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1

• 至于最终用户计算机上的 GlobalProtect App 日志；虽然未显示 GP Portal Agent Config 名称，但 PanGPA.log将以 XML 格式显示本文第 2 步中所示的配置详细信息。

定义 GlobalProtect 代理配置