IP-les cartographies utilisateur ont un préfixe de domaine incohérent

IP-les cartographies utilisateur ont un préfixe de domaine incohérent

87127
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM


Symptom


  • Lorsque l’utilisateur ip-user-mapping toutes les commandes sont utilisées, certaines IP- mappages utilisateur affichent préfixe de domaine incohérent
  • Le préfixe de domaine incohérent peut amener les utilisateurs répertoriés avec le nom DNS- de domaine à frapper la mauvaise policy sécurité, si vous utilisez des stratégies basées sur le groupe.
  • Dans l’exemple ci-dessous, certaines entrées sont répertoriées comme NetBIOS-domain\username, tandis que d’autres sont répertoriées DNS- comme nom de domaine.username.
> show user ip-user-mapping all
IP             Vsys   From  User                           IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14    vsys1  AD    subdomain.root.com\fflintsone      0              3
10.19.0.78     vsys1  AD    subdomain\brubble                  297            295
10.0.0.246     vsys1  AD    subdomain.root.com\dino            0              3
Total: 3 users

 

Environment


  • Tout PAN-OS .
  • Palo Alto Firewall .
  • Utilisateur sans agent utilisé ID dans un environnement forestier AD multi-domaines.

Cause


  • Le problème est visible lorsque la carte de domaine n’est pas remplie sur l’appareil.
  • Pour vérifier l’existence de la carte de domaine exécuter la commande, débogage utilisateur-id dump domain-map.Aucune sortie n’est une indication du problème car il est nécessaire de résoudre le DNS nom de domaine NetBIOS. Cette résolution est nécessaire pour que l’utilisateur IP normaliser le processus.
  • La carte de domaine peut être tirée uniquement une partition d’annuaire d’un contrôleur de domaine racine.

Resolution


Résolution

  1. Créez un LDAP profil de serveur (port 389 ou 636) qui se connecte à l’un des contrôleurs de domaine racine, cela DC doit également être un serveur de catalogue global.
  2. Créez un profil de cartographie de groupe qui tire au moins un groupe du domaine racine qui utilise le profil serveur LDAP ci-dessus.
  3. Réinitialiser la cartographie de groupe.
> debug user-id reset group-mapping all
  1. Redémarrer ID l’utilisateur en utilisant la commande
> debug software restart process user-id
  1. Confirmez que la carte de domaine sort maintenant.
> debug user-id dump domain-map

 

Additional Information


Tout sur l’utilisateur- ID Carte de domaine.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVDCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language