Mejoras de ID de usuario de pan-os 7,1

Mejoras de ID de usuario de pan-os 7,1

17524
Created On 09/25/18 17:15 PM - Last Modified 06/02/23 08:30 AM


Resolution


User-ID es un componente clave en cualquier oferta o solución de depués Palo Alto Networks. Palo Alto Networks mejora la forma en que el usuario-ID funciona en pan-os 7,1 a través de tres mejoras clave:

 

  • Redistribución de ID de usuario
  • User-ID configurable ignorar lista de usuarios
  • Aumento de capacidad del grupo de ID de usuario


Redistribución de ID de usuario

 

Problema
en pan-os 7,0, un cortafuegos que recibe asignaciones IP/usuario de un cortafuegos de redistribución no puede redistribuirlos aún más.
Los usuarios con topologías complejas de ID de usuario tienen la necesidad de Multihop la redistribución de la información de ID de usuario.

 

Solución
utilizando los cortafuegos de Palo Alto Networks ejecutando pan-os 7,1 como agentes ID de usuario, las asignaciones de IP/usuario se pueden distribuir hasta una profundidad de 10 niveles.

 

Descripción
los agentes de redistribución pueden recibir asignaciones de IP/usuarios de todas las fuentes disponibles de información de ID de usuario, incluidos agentes de UID de Windows, GlobalProtect, portal cautivo, API XML, registro de bitácoras y supervisión de servidores. Los agentes de cortafuegos marcados como puntos de distribución agregan datos de ID de usuario de varios agentes de Firewall de Upstream y resuelven las asignaciones de ID de usuario en conflicto de estos agentes.

 

Limitaciones

  • Una asignación de IP/usuario determinada se redistribuirá a un máximo de 10 saltos desde el origen que aprendió originalmente esta asignación de IP/usuario.
  • Un máximo de 100 agentes se configuran como agentes de ID de usuario por plataforma en todas las plataformas pan-os.
  • Componentes de redistribución que están fuera del alcance de esta función:
    • Redistribución de grupos LDAP (solución: utilizar proxy LDAP)
    • Redistribución de información de servicios de Terminal Server
    • Uso de agentes de Windows UID como puntos de redistribución
    • Uso de panorama como punto de redistribución
    • Redistribución de la cadera

 

Configuración
la redistribución de ID de usuario se configura mediante la opción de configuración de ID de usuario existente.

 

En el ejemplo se muestra un cortafuegos en el centro de una cadena de redistribución.

 

Dentro del dispositivo > identificación del usuario > mapeo de usuario, haga clic en el icono de la rueda dentada en la parte superior derecha para llegar a esta ventana:

C1. Png

 

Dispositivo interno > identificación del usuario > ID de usuario, haga clic en ' Agregar ' para un nuevo agente, o haga clic en un agente existente.

C2. Png

 

Downgrade en
la degradación de pan-os, la configuración se mantiene en su lugar, pero las asignaciones de IP/usuario no se pueden distribuir más de un salto en 7,0 o versiones anteriores. Cualquier opción de redistribución configurada se omitirá efectivamente en dicho escenario.

 

User-ID configurable ignorar lista de usuarios

UNA nueva pestaña, ' ignorar lista de usuarios ' se agrega en el dispositivo > identificación del usuario > palo alto Netoworks sección de configuración del agente de identificación del usuario.


Los caracteres comodín se admiten al final de la entrada, por lo que, por ejemplo, conedomain1\dom * cubre conedomain1\domainuser, conedomain1\domainadmin, etc.
C4. png

 

Usuario-ID grupo aumento de capacidad en PA-5060, PA-7050 y PA-7080

 

Las
redes de emisión que están evolucionando hacia un modelo de confianza cero a menudo requieren un gran número de grupos de usuarios, cada uno de los cuales generalmente significa un recurso de red o una aplicación.

 

Actualmente sólo 640 grupos son configurables en las políticas.

 


La solución permite la configuración de hasta 3.200 grupos dentro de cualquier construcción de directivas Aware de User-ID en las plataformas PA-5060, PA-7050 y PA-7080 cuando estas plataformas se utilizan en un solo modo vsys.

  • El aumento sólo se configura cuando el dispositivo está funcionando en un modo de vsys única. Si se habilitan varios sistemas virtuales, User-ID retrocede a 640 grupos por vsys.
  • El aumento es aplicable a las políticas de seguridad, QoS, desencriptación y portal cautivo.
    Si un dispositivo pan-os 7,1 está configurado con más de 640 grupos cuando se encuentra en modo vsys único, y un administrador realiza un cambio de configuración para habilitar varios sistemas virtuales, el comando falla.

 

Downgrade
si se solicita un downgrade desde pan-os 7,1 y la configuración lleva más de 640 grupos, la solicitud de downgrade se detiene con un error.

 


Configuración de panorama empuje de panorama a dispositivos que no admitan más de 640 grupos fallan.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEACA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language