シナリオ
ユーザー名から IP アドレスへのマッピングでは、ソフトウェアベースおよびエージェントレスのユーザ ID エージェントによって、最近学習したマッピングがインストールされます。user1 が ip1 にマップされ、このマッピングがエージェントレスのユーザ id エージェントによって学習される例を考えてみてください。これで、user1 が同じ PC から GlobalProtect 経由で VPN 接続を起動し、新しい ip アドレスが割り当てられた場合、ユーザー名から ip へのマッピングは、ファイアウォール上で user1 と ip2 に変更され、ソースは GlobalProtect になります。したがって、user1 と ip1 の古いユーザーキャッシュは、user1 と ip2 の新しいエントリによって上書きされます。
同様に、active directory ドメインコントローラから取得したグループは、各グループマッピングプロファイルで一意である必要があります。
グループはセキュリティポリシーで参照されることが多く、この情報を取得するグループマッピングプロファイルは重要ではありませんが、場合によっては問題があり、
テーブルを完全に有効にすることもあります。
次のシナリオでは、同じグループが、2つの異なるグループマッピングプロファイルから参照されている場合に、ユーザーが所属している active directory グループと一致しないことが原因で、セキュリティポリシーと一致する問題が発生する可能性があります。
グループマッピングプロファイルは、[テスト] として [ドメイン設定] の [ユーザードメイン] で構成され、
test は、FQDN ドメイン名 test.kunaldc.com と同等の netbios ドメイン名です。
グループ、cn = group2、cn = ユーザー、dc = テスト、dc = kunaldc、dc = comは、このグループマッピングプロファイルを使用してフェッチされます。
ユーザgptest はこのグループに属し、そのユーザ名はファイアウォールに domain\username フォーマットとして保存されます 。
test\gptest. として
次に、ユーザードメインがオーバーライドされず、テストではなく test.kunaldc.com される、別のグループマッピングプロファイル (AD FQDN 形式) を構成し ます。
このグループマッピングプロファイルに上記の広告グループのみを含めるには、[グループを含める] オプションを使用します。
この変更をコミットします。
グループマッピングの更新が完了したら、グループマッピングの状態を確認します。
今同じ広告グループ、cn = group2、cn = ユーザー、dc = テスト、dc = kunaldc、dc = com、また、新しいグループマッピングプロファイルのAD-FQDN 形式によってフェッチされます。
このグループに属するユーザー名を注意深く見てください。
ユーザー名の形式が netbios\user から fqdn\user に 変更されました。
ソースは、古いグループマッピングプロファイル- GPOUP-マッピング-テストから新しいものに変更されています,
AD-FQDN-形式。
現在発生している主な問題は、ユーザー id のメカニズム (エージェントまたは代理人ではないユーザー id/GlobalProtect/captive ポータルなど) を介してユーザ名が学習されたことです。 グループマッピングテーブルのユーザー名の形式と一致しません。
同じユーザーからのトラフィックは、このユーザーグループが参照されているセキュリティポリシーと一致しません。