IP-asignaciones a usuario tienen prefijo de dominio incoherente

IP-asignaciones a usuario tienen prefijo de dominio incoherente

87129
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM


Symptom


  • Cuando se utiliza el comando show user ip-user-mapping all, algunas IP- asignaciones de usuario a usuario muestran el prefijo de dominio incoherente
  • El prefijo de dominio incoherente puede hacer que los usuarios enumerados con el DNS- nombre de dominio pulse la seguridad policy incorrecta, si utilizan directivas basadas en grupos.
  • En el ejemplo siguiente, algunas entradas se enumeran como NetBIOS-domain\username, mientras que otras se enumeran como DNS- domain\username.
> show user ip-user-mapping all
IP             Vsys   From  User                           IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14    vsys1  AD    subdomain.root.com\fflintsone      0              3
10.19.0.78     vsys1  AD    subdomain\brubble                  297            295
10.0.0.246     vsys1  AD    subdomain.root.com\dino            0              3
Total: 3 users

 

Environment


  • Cualquier PAN-OS archivo .
  • Palo Alto Firewall .
  • Usuario sin agente- ID utilizado en un entorno de bosque de varios AD dominios.

Cause


  • El problema se considera cuando el mapa del dominio no se puebla en el dispositivo.
  • Para comprobar la existencia del mapa de dominio ejecute el comando, depure user-id dump domain-map.Ninguna salida es una indicación del problema, ya que se requiere para resolver el DNS nombre de dominio NetBIOS. Esta resolución es necesaria para que el usuario normale el IP proceso.
  • El mapa de dominio sólo puede ser tirado una partición de directorio de un controlador de dominio raíz.

Resolution


Resolución

  1. Cree un LDAP perfil de servidor (puerto 389 o 636) que se conecte a uno de los controladores de dominio raíz, DC también debe ser un servidor de catálogo global.
  2. Cree un perfil de asignación de grupo que extraiga al menos un grupo del dominio raíz que utilice el LDAP perfil de servidor anterior.
  3. Restablecer la asignación de grupos.
> debug user-id reset group-mapping all
  1. Reinicie el ID usuario- mediante el comando
> debug software restart process user-id
  1. Confirme que el mapa de dominio ahora se cierra.
> debug user-id dump domain-map

 

Additional Information


Todo sobre el usuario- ID Mapa de dominio.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVDCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language