Tout sur la carte ID utilisateur-domaine

Conditions préalables

Vous devez avoir une connaissance de travail de:

  Fonction active
d’identification utilisateur d’annuaire sur les réseaux de Palo Alto firewall

 

Composants utilisés

Les informations contenues dans ce document sont basées sur ces logiciels et hardware versions :

Palo Alto Networks VM firewall exécutant PANOS 7.1
Active Directory Services fonctionnant sur le serveur r2 de Microsoft 2012, configuré comme contrôleur de domaine

 

L’information contenue dans ce document a été créée à partir des appareils dans un environnement de laboratoire spécifique.
Si votre réseau est en ligne, assurez-vous de bien comprendre l’impact potentiel d’une commande.

 
Fond

Palo Alto Networks firewall utilise la carte de domaine pour stocker le nom de domaine d’annuaire actif entièrement qualifié (fqdn) et son domaine netbios équivalent (nom netbios).

Il est utilisé pour normaliser ou convertir le nom d’utilisateur et les noms de groupe de FQDN leur format de nom de domaine netbios correspondant.

Par exemple, considérez le domaine'paloaltonetworks.com'comme FQDN, puis son nom de domaine NetBIOS équivalent est'paloaltonetworks'

 

Dans un environnement Active Directory, un utilisateur qui est un membre de ce domaine aura son Pseudo en tant que paloaltonetworks\username.

 

Détails

Jetons un coup d’oeil plus profond quant à la firewall façon dont le nom de domaine netbios retrieves des contrôleurs de domaine répertoire actif, remplir la carte de domaine, puis l’utiliser pour la conversion de fqdn en nom netbios.

 

Pour des raisons de simplicité et de facilité d'illustration, nous allons briser le flux de travail en trois phases.

 

 

• PHASE 1 Récupération du nom de domaine netbios

 

Firewall envoie la demande pour le nom de domaine netbiosname LDAP tout en envoyant la requête de partition pendant LDAP la mise à jour, peuple sa carte de domaine et écrit cette entrée dans le fichier dnsnetbios.map

 

Récupéré par connexion 389/636 LDAP (pas Global Catalog one’s - 3268 ou 3269)

Tous les contrôleurs de domaine doivent avoir ces informations

 

Lieu: LDAP :// CN =Partitions, CN =Configuration, DC =<DomainName>,</DomainName>
DC= <local|com></local|com>

ADSI Modifier : Connectez-vous aux « configurations » ADSI ( - Interfaces de service d’annuaire actif)

 

 

 
Voici la réponse de LDAP requête de partition du contrôleur de domaine d’annuaire actif à l’affichage des firewall :
 

Cible de la requête - CN=Partitions, CN =Configuration, DC =test, DC =kunaldc, DC =com

FQDN- 'test.kunaldc.com'

Nom de domaine Netbios - 'test'

 

 

 

• PHASE 2 Stockage du nom de domaine netbios

 

Le fichier 'dnsnetbios.map' qui contient le fqdn et son nom de domaine netbios est stocké en interne dans la structure d’annuaire basée sur Linux sur le firewall

 

Vous pouvez afficher la carte de domaine à partir de la ligne de commande de la firewall carte de domaine de vidage utilisateur-id debug

 

 

La carte de domaine persiste un rechargement de périphérique, même lorsque vous avez supprimé le profil de mappage de groupe pour un domaine respectif

 

Avec cela, tout nom de domaine netbios une fois appris sur le firewall continue de persister à moins d’être explicitement supprimé via la commande cli 'debug user-id clear domain-map'

 

 

• PHASE 3 Appliquer le nom de domaine netbios aux groupes d’utilisateurs et aux membres de ces groupes

 

L’objectif du nom netbios est de

 

1. Convertir lesformats 'fqdn\username' en nom de domaine netbios c’est-à-dire 'netbios\username' format
 

Par exemple: Test nom d’utilisateur est un membre du domaine d’annuaire actif 'test.kunaldc.com'
C’est format nom fqdn est 'test.kunaldc.com\testuser'

 

Une fois firewall que le apprend sur le nom netbios du domaine d’annuaire actif, puis il va convertir tout le format nom d’utilisateur fqdn en formats de noms netbios

 

 

 

Par conséquent, le format de nom d’utilisateur fqdn de 'test.kunaldc.com\testuser' est converti en 'test\testuser'

 
 

2. Normaliser les groupes du format dn complet au format de nom court
 

En l’absence des cartes de domaine, AD tous les groupes sont reconnus dans leur format complet de nom de domaine

 

A groupe nommé sme_group dont le format complet de nom dn
est 'cn=sme_group, ou=tier2,ou=networking,ou=apac,ou=tac2,dc=test,dc=kunaldc.com,dc=com' est converti en 'test\sme_group'
 

Simialrly, l'utilisateur qui est membre de sme_group et le domaine Active directory'test.kunaldc.com'est également transformé de'test. kunaldc. com\testuser'en'test\testuser'

 

 

 

 

NOTE
 

1. applique la normalisation sur les utilisateurs récupérés à partir de mécanismes de cartographie ip-utilisateur (en utilisant des méthodes telles PAN firewall que - agent userid, agentless, syslog, xmlapi etc) ainsi que les utilisateurs récupérés à partir de contrôleurs de domaine répertoire actif en utilisant  LDAP 
 

 
 

2. Carte de domaine n’est pas synchronisée entre les pare-feu actifs et passifs dans une configuration Active-Passive L’appareil passif doit à un moment donné servir d’appareil actif dans le afin de se connecter au serveur HA
HA d’annuaire actif pour aller chercher le nom de domaine netbios via la requête de partition ldap