사용자 이름만을 기준으로 하는 GlobalProtect 구성 선택

• GlobalProtect Portal/Gateway는 SAML 인증으로 구성되어 있습니다.
• 포털/게이트웨이 인증에 대해 userPrincipalName(UPN) 또는 이메일 사용자명 형식이 구성되었습니다.
• 특정 사용자가 UPN 형식으로 구성된 경우 구성 선택 기준이 일치하지 않습니다.

• 팔로 알토 방화벽
• 지원되는 PAN-OS
• 프리즈마 액세스
• GlobalProtect 포털/게이트웨이
• UPN 형식을 사용한 인증 방법

• PAN-OS 8.1부터 여러 가지 사용자명 형식이 지원됩니다.
• 그룹 매핑(group mapping) 구성 에서 다양한 사용자 속성을 기본 및 보조 형식으로 구성할 수 있습니다.
• 방화벽 에 그룹 매핑(group mapping) 구성되어 있지 않으면 사용자 속성을 매핑할 수 없으며 sAMAccountName 사용자명 형식이 디폴트 으로 사용됩니다.
• 인증 방법에 UPN 형식이 사용되는 경우에도 구성 선택 논리에서 sAMAccountName 형식 조회(lookup) UPN 형식 정규화 후에 수행됩니다.

• 인증 방법 사용자명 형식과 구성 선택 기준의 "사용자"는 UPN 형식으로 구성됩니다.
• GUI: 네트워크 > GlobalProtect > 포털 > (GP 포털 이름) > 에이전트

• 여기서는 sAMAccountName 형식이 UPN 형식( less mp-log appweb3-sslvpn.log)과 일치하지 않으므로 구성 선택이 작동하지 않습니다.

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• 인증 방법은 UPN 형식으로 구성되고, 구성 선택 기준의 "사용자"는 sAMAccountName 형식으로 구성됩니다.

• 여기서는 sAMAccountName 이 UPN 정규화된 형식( less mp-log appweb3-sslvpn.log)과 일치하므로 구성 선택이 정상적으로 작동합니다.

> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!

• 시나리오 1과 2에 대한 GlobalProtect 구성 일치 로그( GUI: 모니터 > 로그 > GlobalProtect ).

1. 그룹 매핑(group mapping) 구성 없는 경우 GlobalProtect Portal/Gateway 구성 선택 기준에서 sAMAccountName 사용자명 형식을 구성합니다.
2. 이 작업은 GUI에서 수행됩니다: 네트워크 > GlobalProtect > 포털 > (GP 포털 이름) > 에이전트.