IP-asignaciones a usuario tienen prefijo de dominio incoherente
87129
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM
Symptom
- Cuando se utiliza el comando show user ip-user-mapping all, algunas IP- asignaciones de usuario a usuario muestran el prefijo de dominio incoherente
- El prefijo de dominio incoherente puede hacer que los usuarios enumerados con el DNS- nombre de dominio pulse la seguridad policy incorrecta, si utilizan directivas basadas en grupos.
- En el ejemplo siguiente, algunas entradas se enumeran como NetBIOS-domain\username, mientras que otras se enumeran como DNS- domain\username.
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14 vsys1 AD subdomain.root.com\fflintsone 0 3
10.19.0.78 vsys1 AD subdomain\brubble 297 295
10.0.0.246 vsys1 AD subdomain.root.com\dino 0 3
Total: 3 users
Environment
- Cualquier PAN-OS archivo .
- Palo Alto Firewall .
- Usuario sin agente- ID utilizado en un entorno de bosque de varios AD dominios.
Cause
- El problema se considera cuando el mapa del dominio no se puebla en el dispositivo.
- Para comprobar la existencia del mapa de dominio ejecute el comando, depure user-id dump domain-map.Ninguna salida es una indicación del problema, ya que se requiere para resolver el DNS nombre de dominio NetBIOS. Esta resolución es necesaria para que el usuario normale el IP proceso.
- El mapa de dominio sólo puede ser tirado una partición de directorio de un controlador de dominio raíz.
Resolution
Resolución
- Cree un LDAP perfil de servidor (puerto 389 o 636) que se conecte a uno de los controladores de dominio raíz, DC también debe ser un servidor de catálogo global.
- Cree un perfil de asignación de grupo que extraiga al menos un grupo del dominio raíz que utilice el LDAP perfil de servidor anterior.
- Restablecer la asignación de grupos.
> debug user-id reset group-mapping all
- Reinicie el ID usuario- mediante el comando
> debug software restart process user-id
- Confirme que el mapa de dominio ahora se cierra.
> debug user-id dump domain-map
Additional Information
Todo sobre el usuario- ID Mapa de dominio.