Sélection de la configuration de GlobalProtect basée uniquement sur les noms d'utilisateur

• Le portail/la passerelle GlobalProtect est configuré avec l’authentification SAML.
• Le format userPrincipalName (UPN) ou le nom d'utilisateur de e-mail, messagerie est configuré pour l'authentification du portail/de la passerelle.
• Les critères de sélection de configuration ne correspondent pas si des utilisateurs spécifiques sont configurés au format UPN.

• Pare-feu Palo Alto
• Système d'exploitation PAN pris en charge
• Accès Prisma
• Portail/passerelle GlobalProtect
• Méthode d'authentification utilisant le format UPN

• À partir de PAN-OS 8.1, plusieurs formats de nom d'utilisateur sont pris en charge.
• Différents attributs utilisateur peuvent être configurés comme formats principaux et secondaires dans la configuration de mappage de groupe .
• Lorsque le mappage de groupe n'est pas configuré sur le pare-feu, il ne peut pas mapper les attributs utilisateur et utilisera par défaut le format de nom d'utilisateur sAMAccountName .
• Même lorsque le format UPN est utilisé dans la méthode d'authentification, dans la logique de sélection de configuration , la recherche de format sAMAccountName est effectuée après la normalisation du format UPN.

• Le format du nom d'utilisateur de la méthode d'authentification et « Utilisateur » dans les critères de sélection de configuration sont configurés au format UPN.
• GUI : Réseau > GlobalProtect > Portails > (nom du portail GP) > Agent

• Ici, la sélection de configuration ne fonctionne pas car le format sAMAccountName ne correspond pas au format UPN ( moins mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• La méthode d'authentification est configurée au format UPN tandis que « Utilisateur » dans les critères de sélection de configuration est configuré au format sAMAccountName .

• Ici, la sélection de configuration fonctionne bien car sAMAccountName correspond au format normalisé UPN ( moins mp-log appweb3-sslvpn.log).

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• Journaux de correspondance de configuration GlobalProtect pour les scénarios 1 et 2 ( GUI : Monitor > Logs > GlobalProtect ).

1. Configurez le format du nom d'utilisateur sAMAccountName dans les critères de sélection de configuration du portail/passerelle GlobalProtect lorsque la configuration de mappage de groupe n'est pas présente.
2. Cela se fait sous l'interface graphique : Réseau > GlobalProtect > Portails > (nom du portail GP) > Agent.