Evitar traer grupos duplicados en el perfil de asignación de grupo
Resolution
Escenario
Para la asignación de direcciones de nombre de usuario a IP, el agente de ID de usuario basado en software y agente instala la asignación más reciente aprendida. Considere un ejemplo donde user1 se asigna a IP1 y esta asignación se aprende a través de un agente de ID de usuario de agente, entonces el origen es a. Ahora, si user1 lanza una conexión VPN a través de GlobalProtect desde el mismo PC y se le asigna una nueva dirección IP, entonces la asignación de username a IP cambiaría en el cortafuegos a user1 y IP2, y el origen es GlobalProtect. Por lo tanto, el antiguo caché de usuarios de user1 y IP1 es sobrescrito por la nueva entrada de user1 y IP2.
De forma similar, los grupos recuperados de un controlador de dominio de Active Directory deben ser exclusivos en cada perfil de asignación de grupo.
Se puede argumentar que a menudo se hace referencia a los grupos en las políticas de seguridad y no importa en qué Perfil de asignación de grupo conseguimos
esta información, pero en algunos casos sí importa y bien puede cambiar completamente las tablas.
En el siguiente escenario, notará que el mismo grupo, al que se hace referencia desde dos perfiles de asignación de grupos diferentes, puede provocar problemas en la coincidencia de la Directiva de seguridad debido a la falta de coincidencia de un usuario con el grupo de Active Directory al que pertenece.
UN perfil de asignación de grupo se configura con dominio de usuario bajo configuración de dominio como prueba, donde
Test es el equivalente del nombre de dominio NetBIOS del nombre de dominio FQDN Test.kunaldc.com.
Un grupo, CN = grupo2, CN = users, DC = test, DC = kunaldc, DC = com se obtiene mediante este perfil de asignación de grupo.
UN usuario gptest pertenece a este grupo y su nombre de usuario se almacena como formato DOMINIO\nombredeusuario en el Firewall
como test\gptest.
Ahora configure otro perfil de asignación de grupo, ad-FQDN-format, donde el dominio de usuario no se invalida y es Test.kunaldc.com en lugar de prueba.
Utilice la opción incluir grupo para incluir sólo el grupo de anuncios anterior en este perfil de asignación de grupo.
Cometer este cambio.
Cuando se complete la actualización de mapping de grupos, compruebe el estado de asignación de grupos.
Ahora, el mismo grupo de anuncios, CN = grupo2, CN = users, DC = test, DC = kunaldc, DC = com, también se obtiene mediante el nuevo formato ad-FQDN-Format del Perfil de asignación de grupos.
Mire cuidadosamente los nombres de usuario que pertenecen a este grupo.
El formato de usuario se ha cambiado de netbios\user a fqdn\user.
La fuente también se ha cambiado del viejo Perfil de asignación de grupo- GPOUP-mapping-test a la nueva,
FORMATO AD-FQDN.
La cuestión principal que surge ahora es que el nombre de usuario aprendido a través de cualquier mecanismo de ID de usuario (agente o agente de ID de usuario/GlobalProtect/Captive portal, etc.) no coincide con el formato de nombre de usuario en la tabla de asignación de grupos.
El tráfico del mismo usuario no coincidiría con la Directiva de seguridad en la que se hace referencia a este grupo de usuarios.