IP-用户映射具有不一致的域前缀
87135
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM
Symptom
- 当 显示用户 IP 用户映射使用所有 命令时,某些 IP- 用户映射显示不一致的域前缀
- 不一致的域名前缀可能导致使用 DNS- 基于组的策略时,使用域名列出的用户打错了安全 policy 性。
- 在下面的示例中,某些条目被列为 NetBIOS 域名/用户名,而另一些条目则被列为 DNS- 域名/用户名。
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14 vsys1 AD subdomain.root.com\fflintsone 0 3
10.19.0.78 vsys1 AD subdomain\brubble 297 295
10.0.0.246 vsys1 AD subdomain.root.com\dino 0 3
Total: 3 users
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- ID在多领域森林环境中使用的无代理用户 AD - 。
Cause
- 当域映射未在设备上填充时,将出现此问题。
- 若要检查是否存在域映射运行该命令,请 调试用户 ID 转储域映射。没有输出表示问题,因为解决 DNS NetBIOS 域名需要输出。 用户需要此分辨率才能 IP 实现规范化过程。
- 只有被拉扯域映射从一个根域控制器的目录分区。
Resolution
分辨率
- 创建连接到 LDAP 根域控制器之一的(端口 389 或 636)服务器配置文件,这也 DC 必须是一个全球目录服务器。
- 创建一个组映射配置文件,该配置文件将从使用上述服务器配置文件的根域中提取至少一个组 LDAP 。
- 重置组映射。
> debug user-id reset group-mapping all
- ID通过使用命令重新启动用户
> debug software restart process user-id
- 确认域映射现已退出。
> debug user-id dump domain-map
Additional Information
所有关于用户- ID 域图。