GlobalProtect Benutzer erscheinen als Benutzer-ID Agent in IP-User-Mapping aus
GlobalProtect Benutzer erscheinen als Benutzer-ID Agent in IP-User-Mapping aus
21500
Created On 09/25/18 19:25 PM - Last Modified 06/12/23 10:10 AM
Resolution
Szenario
EINE Palo Alto Networks Firewall (PA-1) ist als GlobalProtect Gateway und als User-ID-umverteilungs Gerät konfiguriert.
Eine weitere Palo Alto Networks Firewall (PA-2) ist so konfiguriert, dass IP-Mapping-Informationen von PA-1 abgerufen werden.
Symptom
Wenn sich ein Benutzer (testuser) mit dem GlobalProtect-Gateway verbindet, zeigt der von value in der IP-User-Mapping auf PA-1 GP. Auf PA-2 zeigt der Wert auf PA-2 jedoch UIA.
admin @ PA-1 > Benutzer-IP-User-Mapping aller IP-Vsys von User IdleTimeout (s) MaxTimeout (s) -------------------------------------------------------------- 1.1.1.1 vsys1 GP Test User 8410 8410
Admin @ PA-2 > Show-Benutzer IP-User-Mapping aller IP Vsys von User IdleTimeout (s) MaxTimeout (s) -------------------------------------------------------------- 1.1.1.1 vsys1 UIA Test User 2926 2926
Ursache
Wenn eine Palo Alto Networks Firewall als umverteilungs Gerät (Collector) fungiert, fungiert sie als User-ID-Agent für die anderen Palo Alto Networks Firewalls. Daher wird nur PA-1 den Benutzer als GlobalProtect (GP) Benutzer sehen. Alle Firewalls, die das IP-User-Mapping von PA-1 abrufen, werden alle Benutzer als User-ID-Agent (UIA)-Benutzer sehen, einschließlich derer, die sich mit PA-1 von GlobalProtect verbinden.