GlobalProtect- Konfiguration nur basierend auf Benutzernamen

• Das GlobalProtect-Portal/Gateway ist mit SAML-Authentifizierung konfiguriert.
• Das Format userPrincipalName (UPN) oder E-Mail Benutzername ist für die Portal-/Gateway-Authentifizierung konfiguriert.
• Die Konfigurationsauswahlkriterien stimmen nicht überein, wenn bestimmte Benutzer im UPN-Format konfiguriert sind.

• Palo Alto-Firewalls
• Unterstützte PAN-OS
• Prisma-Zugang
• GlobalProtect Portal/Gateway
• Authentifizierungsmethode im UPN-Format

• Ab PAN-OS 8.1 werden mehrere Benutzername unterstützt.
• In der Gruppenzuordnung können verschiedene Benutzer als primäre und sekundäre Formate konfiguriert werden.
• Wenn die Gruppenzuordnung auf der Firewall nicht konfiguriert ist, kann sie keine Benutzer zuordnen und verwendet Standard(-) das Benutzername „sAMAccountName“ .
• Auch wenn in der Authentifizierungsmethode das UPN-Format verwendet wird, wird in der Konfiguration die Suche im sAMAccountName- Format nach der Normalisierung des UPN-Formats durchgeführt.

• Das Benutzername der Authentifizierungsmethode und „Benutzer“ in den Konfiguration werden im UPN-Format konfiguriert.
• GUI: Netzwerk > GlobalProtect > Portale > (GP- Portal ) > Agent

• Hier funktioniert die Konfigurationsauswahl nicht, da das sAMAccountName -Format nicht mit dem UPN-Format übereinstimmt ( weniger mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• Die Authentifizierungsmethode wird im UPN-Format konfiguriert, während „Benutzer“ in den Konfiguration im sAMAccountName -Format konfiguriert wird.

• Hier funktioniert die Konfigurationsauswahl einwandfrei, da der sAMAccountName dem normalisierten UPN-Format entspricht ( weniger als mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• GlobalProtect- Konfiguration für Szenario 1 und 2 ( GUI: Monitor > Protokolle > GlobalProtect ).

1. Konfigurieren Sie das sAMAccountName- Benutzername in den GlobalProtect Portal/Gateway Konfiguration , wenn keine Gruppenzuordnung vorhanden ist.
2. Dies erfolgt unter der GUI: Netzwerk > GlobalProtect > Portale > (GP- Portal ) > Agent.