Los usuarios que GlobalProtect aparecen como provenientes de agente de usuario en Mapping de usuario IP
Los usuarios que GlobalProtect aparecen como provenientes de agente de usuario en Mapping de usuario IP
21498
Created On 09/25/18 19:25 PM - Last Modified 06/12/23 10:10 AM
Resolution
Escenario
Un cortafuegos de Palo Alto Networks (PA-1) se configura como un Gateway GlobalProtect y como un dispositivo de redistribución de ID de usuario.
Otro Firewall de Palo Alto Networks (PA-2) está configurado para recuperar la información de asignación IP de PA-1.
Síntoma
Cuando un usuario (testuser) se conecta a la puerta de enlace GlobalProtect, el valor de desde la asignación de usuario IP en PA-1 muestra GP. Sin embargo, en el PA-2, el valor de la PA-2 muestra la UIA.
admin @ PA-1 > Mostrar usuario IP-usuario-mapping todo IP Vsys del usuario IdleTimeout (s) MaxTimeout (s) -------------------------------------------------------------- 1.1.1.1 vsys1 GP TESTUSER 8410 8410
admin @ PA-2 > Mostrar usuario IP-usuario-mapping todo el IP Vsys del usuario IdleTimeout (s) MaxTimeout (s) -------------------------------------------------------------- 1.1.1.1 vsys1 UIA testuser 2926 2926
Causa
Cuando un cortafuegos de Palo Alto Networks actúa como un dispositivo de redistribución (Collector), actúa como un agente de ID de usuario a los otros cortafuegos de Palo Alto Networks. Por lo tanto, sólo PA-1 verá al usuario como usuario de GlobalProtect (GP). Todos los cortafuegos que recuperen la asignación IP-usuario de PA-1 verán a todos los usuarios como usuarios del agente identificador de usuario (UIA), incluidos los que se conectan a PA-1 desde GlobalProtect.