IP-To-User-Zuordnungen haben inkonsistentes Domänenpräfix

IP-To-User-Zuordnungen haben inkonsistentes Domänenpräfix

87131
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM


Symptom


  • Wenn der Befehl ip-user-mapping anzeigen wird, werden IP- inkonsistente Domänenpräfixe angezeigt, wenn der Befehl ip-user-mapping angezeigt wird.
  • Das inkonsistente Domänenpräfix kann dazu führen, dass die mit dem Domänennamen aufgeführten Benutzer DNS- die falsche Sicherheit policy treffen, wenn gruppenbasierte Richtlinien verwendet werden.
  • Im folgenden Beispiel werden einige Einträge als NetBIOS-domain-username aufgeführt, während andere als DNS- Domänenbenutzername aufgeführt sind.
> show user ip-user-mapping all
IP             Vsys   From  User                           IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14    vsys1  AD    subdomain.root.com\fflintsone      0              3
10.19.0.78     vsys1  AD    subdomain\brubble                  297            295
10.0.0.246     vsys1  AD    subdomain.root.com\dino            0              3
Total: 3 users

 

Environment


  • Jede PAN-OS .
  • Palo Alto Firewall .
  • Agentless User- ID wird in einer Gesamtstrukturumgebung mit mehreren Domänen AD verwendet.

Cause


  • Das Problem wird angezeigt, wenn die Domänenzuordnung nicht auf dem Gerät aufgefüllt wird.
  • Um zu überprüfen, ob die Domänenzuordnung vorhanden ist, führen Sie den Befehl aus, debuggen Sie die Domäne-Map mit Benutzer-ID-Dump.Keine Ausgabe ist ein Hinweis auf das Problem, da es erforderlich ist, um den DNS NetBIOS-Domänennamen zu lösen. Diese Auflösung ist für den IP Normalisierungsprozess des Benutzers erforderlich.
  • Die Domain-Karte kann nur eine Verzeichnispartition von einem Domänencontroller Wurzel gezogen werden.

Resolution


entschluß

  1. Erstellen Sie ein LDAP Serverprofil (Port 389 oder 636), das eine Verbindung zu einem der Stammdomänencontroller herstellt. DC
  2. Erstellen Sie ein Gruppenzuordnungsprofil, das mindestens eine Gruppe aus der Stammdomäne abruft, die das obige LDAP Serverprofil verwendet.
  3. Gruppenzuordnung zurücksetzen.
> debug user-id reset group-mapping all
  1. User neu starten - ID mit dem Befehl
> debug software restart process user-id
  1. Vergewissern Sie sich, dass die Domänenzuordnung jetzt beendet wird.
> debug user-id dump domain-map

 

Additional Information


Alles über Benutzer- ID Domänenzuordnung.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVDCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language