GlobalProtectのよくある問題とトラブルシューティング

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Common Issues with GlobalProtect

https://live.paloaltonetworks.com/t5/Learning-Articles/Common-Issues-with-GlobalProtect/ta-p/59534

 

よくある問題1

GlobalProtectポータルへのログインができるものの、それ以上すすまない。

 

トラブルシューティング

  • 場合によっては先のインスタンスを完全に削除したことを確認の上、Global Protectクライアント/エージェントを再度ダウンロードする必要があるかもしれません。
  • 接続がどこで失敗しているかを確認するため、調査用のログを収集します。これらのログから認証が意図通り機能しているのか、あるいは認証設定を調整する必要があるのかを確認することができます。どのステージでエラーが発生しているのかの確認のため、GlobalProtectクライアント/エージェントからのログ収集を推奨します。ログは "トラブルシューティング> ログ > ログ  = PanGPサービス、デバッグ レベル:= デバッグ"と設定して収集することができます。

2016-06-29_11-23-43.jpg

  • ファイアウォール上では、GlobalProtectのユーザーが接続を試行した際は、以下のログを確認して調査する必要があります。
    • tail follow yes web-server-log sslvpn-access.log
    • tail follow yes mp-log authd.log

 

  • 現在のユーザーをチェックするには、以下のコマンドを実行してください。

> show global-protect-gateway current-user

 

 

よくある問題 2

GlobalProtectポータルは認証に成功するが、Global Protectゲートウェイでは失敗する。

 

トラブルシューティング

  • ポータルの認証の際、ユーザーの資格情報はポータルからゲートウェイに渡されます。ポータルとゲートウェイが同じ認証方法が設定されている場合、この問題は発生しません。
  • ゲートウェイが異なるタイプの認証方法を設定していると、ゲートウェイの認証でポータルの認証と同じユーザー名を使用していることが重要になります。もしポータルからゲートウェイに渡された資格情報をゲートウェイが認識できない場合、ユーザーは再度パスワードの入力を促されます。重要!別のユーザー名を使うことはできないため、同じユーザー名をそれぞれの認証方法で使うようにしてください。
  • LDAP(またはRADIUS)に加えて二要素認証(例としてRSA SecurID)を行うには、LDAP/RADIUS認証はポータルのステージで設定されなければなりません。ユーザーは最初にドメイン名とパスワードでのログインをし、それから再度(ゲートウェイによって)チャレンジ レスポンスのためRSA SecurIDトークンに表示されたワンタイム パスワードを入力します。ここでもまたユーザー名はGlobalProtectポータルとゲートウェイは同じものが使われる前提です。

 

著者: sjamaluddin