Selección de configuración de GlobalProtect basada únicamente en nombres de usuario

• El portal/puerta de enlace GlobalProtect está configurado con autenticación SAML.
• El formato de nombre de usuario userPrincipalName (UPN) o correo electrónico está configurado para la autenticación de Portal/Gateway.
• Los criterios de selección de configuración no coinciden si se configuran usuarios específicos en el formato UPN.

• Cortafuegos de Palo Alto
• Sistema operativo PAN compatible
• Acceso Prisma
• Portal/Puerta de enlace de GlobalProtect
• Método de autenticación mediante formato UPN

• A partir de PAN-OS 8.1, se admiten múltiples formatos de nombre de usuario .
• Se pueden configurar diferentes atributos de usuario como formatos principales y secundarios en la configuración de asignación de grupos .
• Cuando la asignación de grupos no está configurada en el cortafuegos, no puede asignar atributos de usuario y utilizará de valor predeterminado el formato de nombre de usuario sAMAccountName .
• Incluso cuando se utiliza el formato UPN en el método de autenticación, en la lógica de selección de configuración , la búsqueda del formato sAMAccountName se realiza después de la normalización del formato UPN.

• El formato de nombre de usuario del método de autenticación y el "Usuario" en los criterios de selección de configuración se configuran en el formato UPN.
• GUI: Red > GlobalProtect > Portales > (nombre del portal GP) > Agente

• Aquí la selección de configuración no funciona porque el formato sAMAccountName no coincide con el formato UPN ( menos mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• El método de autenticación se configura en formato UPN, mientras que "Usuario" en los criterios de selección de configuración se configura en el formato sAMAccountName .

• Aquí la selección de configuración funciona bien ya que sAMAccountName coincide con el formato normalizado UPN ( menos mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• Los registros de configuración de GlobalProtect coinciden con los escenarios 1 y 2 ( GUI: Monitor > Registros > GlobalProtect ).

1. Configure el formato de nombre de usuario sAMAccountName en los criterios de selección de configuración del portal/puerta de enlace de GlobalProtect cuando la configuración de asignación de grupos no esté presente.
2. Esto se hace en la GUI: Red > GlobalProtect > Portales > (nombre del portal GP) > Agente.