Pan-OS 7,1 User-ID-Erweiterungen

Pan-OS 7,1 User-ID-Erweiterungen

17526
Created On 09/25/18 17:15 PM - Last Modified 06/02/23 08:30 AM


Resolution


User-ID ist eine Schlüsselkomponente in jedem erfolgreichen Palo Alto Networks Angebot oder Lösung. Palo Alto Networks verbessert die Art und Weise, wie User-ID in PAN-OS 7,1 durch drei wichtige Verbesserungen funktioniert:

 

  • User-ID-Umverteilung
  • User-ID konfigurierbare Ignore-BenutzerListe
  • KapazitätsSteigerung der User-ID-Gruppe


User-ID-Umverteilung

 

Ausgabe
auf Pan-OS 7,0, einer Firewall, die IP/User-Mappings von einer umverteilungs-Firewall erhält, kann Sie nicht weiter verbreiten.
Nutzer mit komplexen User-ID-Topologien haben einen Bedarf an Multihop-User-ID-Informationen zur Umverteilung.

 

Lösung
mit Palo Alto Networks Firewalls, die Pan-OS 7,1 als User-ID-Agenten betreiben, können IP/User-Mappings bis zu einer Tiefe von 10 Levels verteilt werden.

 

Beschreibung
Umverteilungs Agenten können IP/User-Mappings aus allen verfügbaren Quellen von User-ID-Informationen erhalten, einschließlich Windows UID-Agenten, Globalprotect, Captive Portal, XML API, syslog und Server Monitoring. Firewall-Agenten, die als Distributionspunkte gekennzeichnet sind, Aggregieren Benutzer-ID-Daten von mehreren Upstream-Firewall-Agenten und lösen alle widersprüchlichen Benutzer-ID-Mappings von diesen Agenten.

 

Einschränkungen

  • EIN bestimmtes IP/User-Mapping ist auf maximal 10 Hopfen aus der Quelle, die dieses IP/User-Mapping ursprünglich gelernt hat, umverteilbar.
  • Auf allen PAN-OS-Plattformen ist ein Maximum von 100-Agenten als User-ID-Agenten pro Plattform konfigurierbar.
  • Umverteilungs Komponenten, die für diese Funktion nicht in Reichweite sind:
    • Umverteilung von LDAP-Gruppen (Workaround: Verwenden Sie LDAP-Proxy)
    • Umverteilung der Informationen über Terminal Dienste
    • Verwendung von Windows UID-Agenten als umverteilungs Punkte
    • Nutzung von Panorama als umverteilungs Punkt
    • Umverteilung der Hüft

 

Konfiguration
User-ID-Umverteilung wird mit der bestehenden User-ID-Konfigurationsoption konfiguriert.

 

Das Beispiel zeigt eine Firewall in der Mitte einer umverteilungs Kette.

 

Im inneren des Geräts > Benutzeridentifikation > Benutzer-Mapping, klicken Sie auf das Ritzel-Symbol in der oberen rechten Seite, um zu diesem Fenster zu gelangen:

C1. Png

 

Innerhalb des Geräts > benutzerIdentifikation > User-ID-Agenten, klicken Sie auf "hinzufügen" für einen neuen Agenten, oder klicken Sie auf einen bestehenden Agenten.

C2. Png

 

Herabstufung
bei der Herabstufung von Pan-OS, Konfiguration bleibt an Ort und Stelle, aber IP/User-Mappings können nicht mehr als ein Hop in 7,0 oder frühere Releases verteilt werden. Alle konfigurierten umverteilungs Optionen werden in einem solchen Szenario effektiv ignoriert.

 

User-ID konfigurierbare Ignore-BenutzerListe

EIN neuer Tab, "BenutzerListe ignorieren", wird in der Konfiguration des Geräts > BenutzerIdentifikation > Palo Alto Netoworks User ID Agent Setup hinzugefügt.


Wildcards werden am Ende der Eingabe unterstützt, so dass zum Beispiel conedomain1\dom * conedomain1\domainuser, conedomain1\domainadmin, etc. abdeckt.
C4. png

 

Kapazitätserhöhung der User-ID-Gruppe auf PA-5060, PA-7050 und PA-7080

 

Ausgabe
Netzwerke, die sich zu einem NULL-Trust-Modell entwickeln, benötigen oft eine große Anzahl von Benutzergruppen, von denen jede im Allgemeinen eine Netzwerkressource oder eine Anwendung bedeutet.

 

Derzeit sind nur 640 Gruppen in Policen konfigurierbar.

 

Lösung
ermöglichen die Konfiguration von bis zu 3.200 Gruppen innerhalb eines jeden User-ID-bewussten Policy-Konstrukts auf den plattFORMEN PA-5060, PA-7050 und PA-7080, wenn diese Plattformen in einem einzigen Vsys-Modus verwendet werden.

  • Die Erhöhung ist nur dann konfigurierbar, wenn das Gerät in einem Single-Vsys-Modus funktioniert. Wenn mehrere virtuelle Systeme aktiviert sind, fällt die User-ID auf 640 Gruppen pro Vsys zurück.
  • Die Erhöhung ist auf die Sicherheits-, QoS, Entschlüsselungs-und Captive-Portal Policen anwendbar.
    Wenn ein Pan-OS 7,1-Gerät mit mehr als 640 Gruppen konfiguriert ist, wenn es im Single-Vsys-Modus ist, und ein Administrator eine Konfigurationsänderung macht, um mehrere virtuelle Systeme zu aktivieren, scheitert der Befehl.

 

Herabstufung
, wenn eine Herabstufung von Pan-OS 7,1 angefordert wird und die Konfiguration mehr als 640 Gruppen trägt, stoppt die Herabstufung-Anfrage mit einem Fehler.

 

Panorama-
Konfigurations Druck vom Panorama auf Geräte, die nicht mehr als 640 Gruppen unterstützen, scheitert.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEACA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language