IP-対ユーザー マッピングのドメイン プレフィックスに矛盾がある
87125
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM
Symptom
- show user-user-mapping allコマンドを使用すると、一部 IP- の対ユーザーマッピングで不整合なドメインプレフィックスが表示されます。
- DNS- policy グループ ベースのポリシーを使用している場合、ドメイン名が一覧表示されているユーザーが間違ったセキュリティにヒットする原因となる可能性があります。
- 次の例では、一部のエントリは NetBIOS ドメイン\ユーザー名として表示され、その他のエントリは DNS- ドメイン\ユーザー名としてリストされています。
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14 vsys1 AD subdomain.root.com\fflintsone 0 3
10.19.0.78 vsys1 AD subdomain\brubble 297 295
10.0.0.246 vsys1 AD subdomain.root.com\dino 0 3
Total: 3 users
Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
- エージェントレス ユーザー - ID 複数ドメイン AD のフォレスト環境で使用されます。
Cause
- この問題は、デバイスにドメイン マップが設定されていない場合に発生します。
- ドメイン マップの存在を確認するには、コマンドを実行して、 ユーザー ID ダンプ ドメイン マップをデバッグします。NetBIOS ドメイン名の解決に必要な出力は、問題を示 DNS しません。 この解決方法は、ユーザーが IP 正規化プロセスに必要です。
- ドメイン マップがルート ドメイン コント ローラーからディレクトリ パーティションのみがプルされることができます。
Resolution
解像 度
- ルート LDAP ドメイン コントローラの 1 つに接続する (ポート 389 または 636) サーバー プロファイルを作成します DC 。
- 上記のサーバー プロファイルを使用するルート ドメインから少なくとも 1 つのグループをプルするグループ マッピング プロファイルを作成 LDAP します。
- グループ マッピングをリセットします。
> debug user-id reset group-mapping all
- IDコマンドを使用してユーザーを再起動する
> debug software restart process user-id
- ドメイン マップが終了したことを確認します。
> debug user-id dump domain-map
Additional Information
ユーザーのすべて- ID ドメイン マップ: