ユーザー ID は、任意の sucsessful パロアルトネットワークの提供またはソリューションの重要なコンポーネントです。パロアルトネットワークは、3つの主要な拡張を通してパン-OS 7.1 でユーザー ID が働く方法を改善します:
- ユーザー ID の再配布
- ユーザー ID の設定を無視するユーザーリスト
- ユーザー ID グループの容量の増加
ユーザー ID の再配布
PAN-OS 7.0 で問題が発生すると、再頒布ファイアウォールから IP/ユーザーマッピングを受信するファイアウォールでは、さらにそれらの配布を再度行うことはできません。
複雑なユーザー id トポロジを持つユーザーは、マルチホップのユーザー id 情報の再配布が必要になります。
ソリューションは
、ユーザー ID エージェントとしてパン-OS 7.1 を実行しているパロアルトネットワークファイアウォールを使用して、IP/ユーザーマッピングは、10レベルの深さまで配布することができます。
説明
再配布エージェントは、Windows UID エージェント、GlobalProtect、キャプティブポータル、XML API、Syslog、およびサーバー監視など、ユーザー ID 情報のすべての利用可能なソースから IP/ユーザーマッピングを受け取ることができます。配布ポイントとしてフラグが設定されたファイアウォールエージェントは、複数のアップストリームファイアウォールエージェントからのユーザー id データを集計し、これらのエージェントからの競合するユーザー id マッピングを解決します。
制限事項
- 特定の ip/ユーザーマッピングは、この ip/ユーザーマッピングを最初に学習したソースから最大10ホップまで再頒布可能です。
- 最大100のエージェントは、すべての PAN-OS プラットフォーム上のプラットフォームごとにユーザー ID エージェントとして構成できます。
- この機能の範囲外の再配布コンポーネント:
- ldap グループの再配布 (回避策: ldap プロキシを使用する)
- ターミナルサービス情報の再配布
- 再配布ポイントとしての Windows UID エージェントの使用
- パノラマを再配布ポイントとして使用する
- 股関節の再分配
構成
ユーザー id の再配布は、既存のユーザー id 構成オプションを使用して構成します。
この例では、再配布チェーンの途中にあるファイアウォールを示しています。
[デバイス] > [ユーザー id] > [ユーザーマッピング]で、右上にあるスプロケットアイコンをクリックして、このウィンドウを表示します。
デバイス > ユーザー識別 > ユーザー ID エージェントの内部で、新しいエージェントの [追加 ] をクリックするか、既存のエージェントをクリックします。
パン OS のダウングレードのダウングレード、構成は維持されますが、IP/ユーザーマッピングは7.0 またはそれ以前のリリースでは複数のホップを配布することはできません。構成された再配布オプションは、このようなシナリオでは無視されます。
ユーザー ID の設定を無視するユーザーリスト
新しいタブ、「ユーザーリストを無視する」がデバイスに追加されます > ユーザー識別 > パロアルトネットワークユーザー ID エージェントのセットアップの構成セクション。
ワイルドカードは入力の最後でサポートされているので、たとえば、conedomain1\dom * は conedomain1\domainuser、conedomain1\domainadmin などをカバーします。
pa-5060、pa-7050 および pa-7080 のユーザー ID グループ容量の増加
ゼロの信頼モデルに向かって進化している問題のネットワークは、多くの場合、通常はネットワークリソースまたはアプリケーションを意味する膨大な数のユーザーグループを必要とします。
現在、640グループのみがポリシーで設定可能です。
ソリューションは、
これらのプラットフォームが単一の vsys モードで使用されている場合に、pa-5060、pa-7050、および pa-7080 プラットフォーム上の任意のユーザー ID 認識ポリシー構成内で最大3200グループの設定を可能にします。
- 増加は、デバイスが単一 vsys モードで機能している場合にのみ構成できます。複数の仮想システムが有効になっている場合、ユーザー ID は vsys あたり640グループにフォールバックします。
- 増加は、セキュリティ、QoS、復号化、およびキャプティブポータルのポリシーに適用されます。
シングル vsys モードでは、PAN-OS 7.1 デバイスが640以上のグループで構成されており、管理者が複数の仮想システムを有効にするための構成変更を行うと、コマンドは失敗します。
ダウングレードは、
パン-OS 7.1 からダウングレードが要求され、構成が640以上のグループを運ぶ場合、ダウングレード要求はエラーで停止します。
パノラマ
構成のパノラマから640以上のグループをサポートしていないデバイスへのプッシュは失敗します。