Vermeiden Sie doppelte Gruppen in Gruppenzuordnung Profil abrufen

Vermeiden Sie doppelte Gruppen in Gruppenzuordnung Profil abrufen

14902
Created On 09/25/18 19:49 PM - Last Modified 06/08/23 09:42 AM


Resolution


Szenario

 

Für das username-to-IP-Adress-Mapping installiert der softwarebasierte und Agentless User-ID Agent die zuletzt erlernte Kartierung. Betrachten Sie ein Beispiel, in dem user1 auf IP1 abgebildet ist und dieses Mapping über einen Agenten losen UserID-Agent erlernt wird, dann ist die Quelle ein. Wenn User1 nun eine VPN-Verbindung über GlobalProtect vom gleichen PC aus startet und eine neue IP-Adresse zugewiesen wird, dann würde sich die Benutzername-zu-IP-Kartierung auf der Firewall auf User1 und IP2 ändern, und die Quelle ist GlobalProtect. Daher wird der alte Benutzer-Cache von User1 und IP1 durch den neuen Eintrag von User1 und IP2 überschrieben.

 

Ebenso sollten Gruppen, die von einem Active Directory Domain Controller abgerufen werden, in jedem Gruppen-Mapping-Profil einzigartig sein.
Es kann argumentiert werden, dass Gruppen oft in Sicherheitsrichtlinien referenziert werden, und es spielt keine Rolle, von welchem Gruppen-Mapping-Profil
wir diese Informationen erhalten, aber in einigen Fällen ist es wichtig und kann den Spieß durchaus komplett drehen.

 

Im folgenden Szenario werden Sie feststellen, dass die gleiche Gruppe, wenn Sie von zwei verschiedenen Gruppen-Mapping-Profilen verwiesen wird, Probleme bei der Anpassung der Sicherheitsrichtlinien verursachen kann, weil Sie einem Benutzer nicht mit der aktiven Verzeichnis Gruppe, zu der er gehört, übereinstimmen.

 

EIN Gruppen-Mapping-Profil wird mit User-Domain unter Domain-Einstellungen als Test konfiguriert, wobei

Test ist das NetBIOS-Domain-Namens Äquivalent des FQDN Domain-Namens Test.kunaldc.com.

 

 GM SCREEN1. Jpg

 

EINE Gruppe, CN = group2, CN = Users, DC = Test, DC = kunaldc, DC = com wird mit diesem Gruppen-Mapping-Profil abgeholt.

 

Benutzergruppen-Mapping anzeigen. Jpg

den Namen der usr-Gruppe anzeigen. Jpg

 

EIN User gptest gehört zu dieser Gruppe und sein Benutzername wird als DOMAIN\username- Format auf der Firewall gespeichert .

als test\gptest.

 

den Namen der usr-Gruppe anzeigen. Jpg

den Namen der usr-Gruppe anzeigen. Jpg

 

show-User-userid. JPG

 

Konfigurieren Sie nun ein weiteres Gruppen-Mapping-Profil, AD-FQDN-Format, bei dem die Benutzer Domäne nicht überschrieben wird und Test.kunaldc.com anstelle von Test ist.

 

Verwenden Sie die Option Include-Gruppe, um nur die obige ANZEIGENgruppe in dieses Gruppen-Mapping-Profil aufzunehmen.

 

Diese Änderung begehen.

 

GM SCREEN 2. JPG

 

 

Wenn die Gruppen-Mapping-Aktualisierung abgeschlossen ist, dann überprüfen Sie den Gruppen-Mapping-Zustand.

 

Nun wird auch die gleiche ANZEIGENgruppe, CN = group2, CN = Users, DC = Test, DC = kunaldc, DC = com, durch das neue Gruppen-Mapping-Profil AD-FQDN-Format abgerufen.

 

Benutzergruppe Mapping 2. JPG anzeigen


Schauen Sie sich die Benutzernamen, die zu dieser Gruppe gehören, genau an.

Das Benutzername-Format wurde vom netbios\-Benutzer zum fqdn\-Benutzer geändert.

Die Quelle wurde auch vom alten Gruppen-Mapping-Profil- GPOUP-Mapping-Test auf das neue geändert,

AD-FQDN-FORMAT.

 

Benutzer UserID 2. JPG anzeigen

 

Die primäre Frage, die sich jetzt stellt, ist, dass der Benutzername über jeden User-ID-Mechanismus (Agent oder Agentless User-ID/GlobalProtect/Captive Portal, etc.) gelernt hat.  passt nicht zum Benutzernamen-Format in der Gruppen-Mapping-Tabelle.

 

Der Verkehr desselben Nutzers würde nicht mit den Sicherheitsrichtlinien übereinstimmen, auf die diese Benutzergruppe verwiesen wird.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClemCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language