IP-les cartographies utilisateur ont un préfixe de domaine incohérent
87127
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM
Symptom
- Lorsque l’utilisateur ip-user-mapping toutes les commandes sont utilisées, certaines IP- mappages utilisateur affichent préfixe de domaine incohérent
- Le préfixe de domaine incohérent peut amener les utilisateurs répertoriés avec le nom DNS- de domaine à frapper la mauvaise policy sécurité, si vous utilisez des stratégies basées sur le groupe.
- Dans l’exemple ci-dessous, certaines entrées sont répertoriées comme NetBIOS-domain\username, tandis que d’autres sont répertoriées DNS- comme nom de domaine.username.
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14 vsys1 AD subdomain.root.com\fflintsone 0 3
10.19.0.78 vsys1 AD subdomain\brubble 297 295
10.0.0.246 vsys1 AD subdomain.root.com\dino 0 3
Total: 3 users
Environment
- Tout PAN-OS .
- Palo Alto Firewall .
- Utilisateur sans agent utilisé ID dans un environnement forestier AD multi-domaines.
Cause
- Le problème est visible lorsque la carte de domaine n’est pas remplie sur l’appareil.
- Pour vérifier l’existence de la carte de domaine exécuter la commande, débogage utilisateur-id dump domain-map.Aucune sortie n’est une indication du problème car il est nécessaire de résoudre le DNS nom de domaine NetBIOS. Cette résolution est nécessaire pour que l’utilisateur IP normaliser le processus.
- La carte de domaine peut être tirée uniquement une partition d’annuaire d’un contrôleur de domaine racine.
Resolution
Résolution
- Créez un LDAP profil de serveur (port 389 ou 636) qui se connecte à l’un des contrôleurs de domaine racine, cela DC doit également être un serveur de catalogue global.
- Créez un profil de cartographie de groupe qui tire au moins un groupe du domaine racine qui utilise le profil serveur LDAP ci-dessus.
- Réinitialiser la cartographie de groupe.
> debug user-id reset group-mapping all
- Redémarrer ID l’utilisateur en utilisant la commande
> debug software restart process user-id
- Confirmez que la carte de domaine sort maintenant.
> debug user-id dump domain-map
Additional Information
Tout sur l’utilisateur- ID Carte de domaine.