GlobalProtect配置选择仅基于用户名

GlobalProtect配置选择仅基于用户名

5286
Created On 07/19/22 07:37 AM - Last Modified 01/07/25 06:42 AM


Symptom


  • GlobalProtect 门户/网关配置了 SAML 身份验证。
  • 为门户/网关身份验证配置了 userPrincipalName (UPN) 或电子邮件用户名格式。
  • 如果特定用户以 UPN 格式配置,则配置选择标准不匹配。
注意: UPN 是类似于“abc@exampledomain.local”的电子邮件用户名

Environment


  • Palo Alto 防火墙
  • 支持的 PAN OS
  • Prisma 访问
  • GlobalProtect 门户/网关
  • 使用 UPN 格式的身份验证方法

Cause


  • 从 PAN-OS 8.1 开始,支持多种用户名格式。
  • 在组映射配置中,可以配置不同的用户属性作为主格式和辅格式。
  • 当防火墙上没有配置组映射时,它无法映射用户属性,并将默认为sAMAccountName用户名格式。
  • 即使在身份验证方法中使用 UPN 格式,在配置选择逻辑中, sAMAccountName格式查找也是在 UPN 格式规范化之后完成的。
场景 1:
  • 认证方法用户名格式和配置选择条件中的“用户”均采用UPN格式配置。
  • GUI:网络 > GlobalProtect > 门户 > (GP门户名称) > 代理
GlobalProtect Agent Config
  • 此处配置选择不起作用,因为sAMAccountName格式与 UPN 格式不匹配(较少 mp-log appweb3-sslvpn.log)。
> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for su-lab.local\sudhir
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1149): found user group useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for useridd-groupsready
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for any
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1251): final config idx vector:
debug: pan_usr_cfg_print_config_idx(pan_usr_cfg.c:894): config_idx is 1
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config DEFAULT 
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!
场景 2:
  • 身份验证方法配置为 UPN 格式,而配置选择标准中的“用户”配置为sAMAccountName格式。
GlobalProtect Agent Config - Scenario2
  • 此处配置选择工作正常,因为sAMAccountName与 UPN 规范化格式相匹配( less mp-log appweb3-sslvpn.log)。
> less mp-log appweb3-sslvpn.log
......
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1649): getting client config...
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1260): user(sudhir@su-lab.local) clientos(Windows) is_gp(yes) domain() csc_support(yes)
debug: pan_usr_cfg_find_configs(pan_usr_cfg.c:1137): found user attr su-lab.local\sudhir 
debug: pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for su-lab.local\sudhir 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1330): find user config User-Specific-Config 
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1335): setting device managed status in the config : 2
debug: pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1346): useridd user groups loaded complete
debug: pan_gp_lookup_by_sock(pan_gp_cfg.c:1670): found client config!
  • 场景 1 和 2 的 GlobalProtect配置匹配日志( GUI:监视 > 日志 > GlobalProtect )。
Global Protect configuration match logs

Resolution


  1. 当不存在组映射配置时,在 GlobalProtect 门户/网关配置选择标准中配置sAMAccountName用户名格式。
  2. 这是在 GUI 下完成的:网络 > GlobalProtect > 门户 > (GP门户名称) > 代理。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl1vCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language