GlobalProtect ユーザーが IP ユーザー マッピングでユーザー ID エージェントからとして表示します。

シナリオ

パロアルトネットワークファイアウォール (PA-1) は、GlobalProtect ゲートウェイとして、およびユーザー ID 再配布デバイスとして構成されています。

別のパロアルトネットワークファイアウォール (pa-2) は、pa-1 から IP マッピング情報を取得するように構成されています。

問題の状況

ユーザー (testuser) が GlobalProtect ゲートウェイに接続すると、PA-1 の IP ユーザーマッピングの From 値は GP を示します。しかし、pa-2 では、pa-2 の From 値は UIA を示しています。

管理者 @ pa-1 > ユーザーの ip を表示する-ユーザーのマッピングすべての
ip Vsys ユーザー IdleTimeout から MaxTimeout (秒)
--------------------------------------------------------------
1.1.1.1 vsys1 GP testuser 8410 8410

管理者 @ pa-2 > ユーザーを表示ip-ユーザー-ユーザ
IdleTimeout からすべての ip Vsys をマッピングする MaxTimeout (s)
--------------------------------------------------------------
1.1.1.1 vsys1 UIA testuser 2926 2926

原因

パロアルトネットワークファイアウォールが再配布デバイス (コレクタ) として機能する場合、他のパロアルトネットワークファイアウォールに対するユーザー ID エージェントとして機能します。したがって、PA-1 のみ GlobalProtect (GP) ユーザーとしてユーザーが表示されます。pa-1 から IP ユーザーマッピングを取得するすべてのファイアウォールは、GlobalProtect から pa-1 に接続するものを含め、すべてのユーザーをユーザー ID エージェント (UIA) ユーザーとして表示します。

所有者: sberti