GlobalProtect utilisateurs apparaissent comme provenant de l’Agent utilisateur dans mappage IP-utilisateur

Scénario

Un pare-feu de Palo Alto Networks (PA-1) est configuré comme une passerelle GlobalProtect et comme un périphérique de redistribution d'ID utilisateur.

Un autre pare-feu de Palo Alto Networks (PA-2) est configuré pour récupérer les informations de mappage IP de PA-1.

Symptôme

Lorsqu'un utilisateur (testuser) se connecte à la passerelle GlobalProtect, la valeur from du mappage utilisateur IP sur PA-1 affiche GP. Toutefois, sur PA-2, la valeur de de sur PA-2 montre UIA.

admin @ PA-1 > Show utilisateur IP-utilisateur-Mapping tous les
VSys IP de l'utilisateur IdleTimeout (s) MaxTimeout (s)
--------------------------------------------------------------
1.1.1.1 vsys1 GP TESTUSER 8410 8410

admin @ PA-2 > afficher l'utilisateur IP-User-Mapping All
IP VSys de L'Utilisateur IdleTimeout (s) MaxTimeout (s)
--------------------------------------------------------------
1.1.1.1 vsys1 UIA testuser 2926 2926

Cause

Quand un pare-feu de Palo Alto Networks agit comme un dispositif de redistribution (Collector), il agit en tant qu'Agent d'identification d'utilisateur aux autres pare-feu de réseaux de Palo Alto. Par conséquent, seul PA-1 verra l'utilisateur comme GlobalProtect (GP) utilisateur. Tous les pare-feu qui récupèrent le mappage utilisateur IP de PA-1 verront tous les utilisateurs en tant qu'utilisateurs de l'Agent ID utilisateur (UIA), y compris ceux qui se connectent à PA-1 à partir de GlobalProtect.

propriétaire : sberti