Améliorations de l'ID utilisateur Pan-OS 7,1

Améliorations de l'ID utilisateur Pan-OS 7,1

17522
Created On 09/25/18 17:15 PM - Last Modified 06/02/23 08:30 AM


Resolution


User-ID est un composant clé de toute offre ou solution de sucsessful Palo Alto Networks. Palo Alto Networks améliore la façon dont User-ID fonctionne dans Pan-OS 7,1 à travers trois améliorations clés:

 

  • Redistribution d'ID utilisateur
  • User-ID configurable ignorer la liste d'utilisateurs
  • Augmentation de la capacité du groupe d'ID utilisateur


Redistribution d'ID utilisateur

 

Problème
sur Pan-OS 7,0, un pare-feu qui reçoit des mappages IP/utilisateur à partir d'un pare-feu de redistribution ne peut pas les redistribuer davantage.
Les utilisateurs possédant des topologies d'id utilisateur complexes ont besoin d'une redistribution d'informations d'id utilisateur avec sauts multiples.

 

Solution
utilisant les pare-feu de Palo Alto Networks exécutant Pan-OS 7,1 en tant qu'agents d'ID utilisateur, les mappages IP/utilisateur peuvent être distribués jusqu'à une profondeur de 10 niveaux.

 

Description
les agents de redistribution peuvent recevoir des mappages IP/utilisateur à partir de toutes les sources disponibles d'informations d'ID utilisateur, y compris les agents UID de Windows, GlobalProtect, le portail captif, l'API XML, le syslog et la surveillance des serveurs. Les agents de pare-feu marqués comme points de distribution regroupent les données d'id utilisateur de plusieurs agents de pare-feu en amont et résolvent les mappages d'id utilisateur conflictuels de ces agents.

 

Limitations

  • Un mappage IP/utilisateur donné est redistribuable à un maximum de 10 tronçons de la source qui a initialement appris ce mappage IP/utilisateur.
  • Un maximum de 100 agents est configurable en tant qu'agents d'ID utilisateur par plate-forme sur toutes les plates-formes Pan-OS.
  • Composants de redistribution qui sont hors de portée pour cette fonctionnalité:
    • Redistribution des groupes LDAP (solution de contournement: utiliser le proxy LDAP)
    • Redistribution des informations sur les services Terminal Server
    • Utilisation d'agents UID Windows comme points de redistribution
    • Utilisation de panorama comme point de redistribution
    • Redistribution de la hanche

 


La redistribution de l'ID utilisateur de configuration est configurée à l'Aide de l'option de configuration d'id utilisateur existante.

 

L'exemple montre un pare-feu au milieu d'une chaîne de redistribution.

 

Inside Device > identification de l'utilisateur > mappage utilisateur, cliquez sur l'Icône de pignon en haut à droite pour obtenir à cette fenêtre:

C1. Png

 

Intérieur de l'Appareil > identification de l'Utilisateur > user-ID agents, cliquez sur'ajouter'pour un nouvel agent, ou cliquez sur un agent existant.

C2. Png

 

Downgrade
sur le downgrade de Pan-OS, la configuration reste en place, mais les mappages IP/utilisateur ne peuvent pas être distribués plus d'un hop dans 7,0 ou versions antérieures. Toutes les options de redistribution configurées seront effectivement ignorées dans un tel scénario.

 

User-ID configurable ignorer la liste d'utilisateurs

UN nouvel onglet, "ignorer la liste des utilisateurs" est ajouté dans le dispositif > identification de l'utilisateur > Palo Alto Netoworks User ID agent de configuration de l'installation de la section.


Les caractères génériques sont pris en charge à la fin de l'Entrée, par exemple, conedomain1\dom * couvre conedomain1\domainuser, conedomain1\domainadmin, etc.
C4. png

 

Augmentation de la capacité du groupe d'ID utilisateur sur PA-5060, PA-7050 et PA-7080

 

Les
réseaux d'émission qui évoluent vers un modèle de confiance zéro nécessitent souvent un grand nombre de groupes d'utilisateurs, chacun d'entre eux signifiant généralement une ressource réseau ou une application.

 

Actuellement, seuls 640 groupes sont configurables dans les polices.

 

Solution
autoriser la configuration de jusqu'à 3 200 groupes dans toute construction de stratégie de l'ID utilisateur sur les plates-formes PA-5060, PA-7050 et PA-7080 lorsque ces plates-formes sont utilisées en un seul mode VSys.

  • L'augmentation n'est configurable que lorsque le périphérique fonctionne en mode VSys. Si plusieurs systèmes virtuels sont activés, l'ID utilisateur revient à 640 groupes par VSys.
  • L'augmentation s'applique aux polices de sécurité, de QoS, de décryptage et de portail captif.
    Si un périphérique Pan-OS 7,1 est configuré avec plus de 640 groupes en mode VSys unique, et qu'un administrateur effectue une modification de configuration pour activer plusieurs systèmes virtuels, la commande échoue.

 

Downgrade
si une rétrogradation est demandée à partir de Pan-OS 7,1 et que la configuration transporte plus de 640 groupes, la demande de déclassement s'arrête avec une erreur.

 


Configuration panorama poussez de panorama vers des périphériques qui ne prennent pas en charge plus de 640 groupes échouent.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEACA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language