Scénario
Pour le mappage d'adresses username-to-IP, l'agent d'ID utilisateur basé sur le logiciel et sans agent installe le mappage le plus récemment appris. Prenons un exemple où User1 est mappé à IP1 et ce mappage est appris via un agent userid sans agent, puis la source est a. Maintenant, si User1 lance une connexion VPN via GlobalProtect à partir du même PC et qu'une nouvelle adresse IP lui est attribuée, le mappage username-to-IP changerait sur le pare-feu pour User1 et IP2, et la source est GlobalProtect. Par conséquent, l'ancien cache utilisateur de User1 et IP1 est écrasé par la nouvelle entrée de User1 et IP2.
De même, les groupes récupérés d'un contrôleur de domaine Active Directory doivent être uniques dans chaque profil de mappage de groupe.
On peut faire valoir que les groupes sont souvent référencés dans les politiques de sécurité et il n'a pas d'importance quel profil de mappage
de groupe, nous obtenons cette information à partir, mais dans certains cas, il importe et peut bien tourner les tables complètement.
Dans le scénario suivant, vous remarquerez que le même groupe, Lorsqu'il est référencé à partir de deux profils de mappage de groupe différents, peut provoquer des problèmes dans la correspondance de la stratégie de sécurité en raison de l'échec de la correspondance d'un utilisateur par rapport au groupe Active Directory auquel il appartient.
UN profil de mappage de groupe est configuré avec le domaine utilisateur sous paramètres de domaine comme test, où
test est l'équivalent du nom de domaine NetBIOS du nom de domaine FQDN test.kunaldc.com.
Un groupe, CN = Group2, CN = Users, DC = test, DC = kunaldc, DC = com est récupéré à l'Aide de ce profil de mappage de groupe.
Un utilisateur gptest appartient à ce groupe et son username est stocké en format domaine\nomutilisateur sur le pare-feu
comme test\gptest.
Maintenant, configurez un autre profil de mappage de groupe, ad-FQDN-format, où le domaine utilisateur n'est pas substitué et est test.kunaldc.com au lieu de test.
Utilisez l'option inclure le groupe pour inclure uniquement le groupe d'ANNONCES ci-dessus dans ce profil de mappage de groupe.
ComMettre ce changement.
Lorsque l'actualisation du mappage de groupe est terminée, vérifiez l'état du mappage de groupe.
Maintenant, le même groupe d'annonces, CN = Group2, CN = Users, DC = test, DC = kunaldc, DC = com, est également récupéré par le nouveau profil de mappage de groupe ad-FQDN-format.
Examinez attentivement les noms d'utilisateur qui appartiennent à ce groupe.
Le format de nom d'utilisateur a été changé de netbios\user à fqdn\user.
La source a également été changée de l'ancien groupe-profil de mappage- GPOUP-Mapping-test à la nouvelle,
AD-FQDN-FORMAT.
Le principal problème qui se pose maintenant est que le nom d'utilisateur a appris par le biais de n'importe quel mécanisme User-ID (agent ou sans agent User-ID/GlobalProtect/captive Portal, etc.) ne correspond pas au format de nom d'utilisateur dans la table de mappage de groupe.
Le trafic du même utilisateur ne correspond pas à la stratégie de sécurité dans laquelle ce groupe d'utilisateurs est référencé.