ユーザー名のみに基づく GlobalProtect設定の選択

• GlobalProtect ポータル/ゲートウェイは SAML 認証で構成されています。
• ポータル/ゲートウェイ認証用に、userPrincipalName (UPN) または電子メールのユーザー名形式が構成されています。
• 特定のユーザーが UPN 形式で構成されている場合には、構成選択基準が一致しません。

• パロアルトファイアウォール
• サポートされているPAN-OS
• プリズマアクセス
• GlobalProtect ポータル/ゲートウェイ
• UPN形式を使用した認証方法

• PAN-OS 8.1 以降では、複数のユーザー名形式がサポートされます。
• グループ マッピング設定では、さまざまなユーザー属性をプライマリ形式とセカンダリ形式として構成できます。
• ファイアウォールでグループ マッピングが構成されていない場合、ユーザー属性をマップできず、デフォルトでsAMAccountNameユーザー名形式になります。
• 認証方法で UPN 形式が使用されている場合でも、設定選択ロジックでは、UPN 形式の正規化後にsAMAccountName形式の検索が行われます。

• 認証方法のユーザー名形式と設定選択基準の「ユーザー」は UPN 形式で構成されます。
• GUI:ネットワーク > GlobalProtect > ポータル > (GPポータル名) > エージェント

• ここでは、 sAMAccountName形式が UPN 形式 ( less mp-log appweb3-sslvpn.log) と一致しないため、構成の選択は機能しません。

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• 認証方法は UPN 形式で構成されていますが、設定選択基準の「ユーザー」はsAMAccountName形式で構成されています。

• ここでは、 sAMAccountName がUPN 正規化形式 ( less mp-log appweb3-sslvpn.log) と一致するため、構成の選択は正常に機能します。

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• シナリオ 1 および 2 の GlobalProtect設定一致ログ ( GUI: モニター > ログ > GlobalProtect )。

1. グループ マッピング設定が存在しない場合は、GlobalProtect ポータル/ゲートウェイ設定選択基準でsAMAccountNameユーザー名形式を構成します。
2. これは、GUI で実行されます:ネットワーク > GlobalProtect > ポータル > (GPポータル名) > エージェント。