フェッチ グループ マッピング プロファイルの重複のグループを避けるため

シナリオ

ユーザー名から IP アドレスへのマッピングでは、ソフトウェアベースおよびエージェントレスのユーザ ID エージェントによって、最近学習したマッピングがインストールされます。user1 が ip1 にマップされ、このマッピングがエージェントレスのユーザ id エージェントによって学習される例を考えてみてください。これで、user1 が同じ PC から GlobalProtect 経由で VPN 接続を起動し、新しい ip アドレスが割り当てられた場合、ユーザー名から ip へのマッピングは、ファイアウォール上で user1 と ip2 に変更され、ソースは GlobalProtect になります。したがって、user1 と ip1 の古いユーザーキャッシュは、user1 と ip2 の新しいエントリによって上書きされます。

同様に、active directory ドメインコントローラから取得したグループは、各グループマッピングプロファイルで一意である必要があります。
グループはセキュリティポリシーで参照されることが多く、この情報を取得するグループマッピングプロファイルは重要ではありませんが、場合によっては問題があり、
テーブルを完全に有効にすることもあります。

次のシナリオでは、同じグループが、2つの異なるグループマッピングプロファイルから参照されている場合に、ユーザーが所属している active directory グループと一致しないことが原因で、セキュリティポリシーと一致する問題が発生する可能性があります。

グループマッピングプロファイルは、[テスト] として [ドメイン設定] の [ユーザードメイン] で構成され、

test は、FQDN ドメイン名 test.kunaldc.com と同等の netbios ドメイン名です。

グループ、cn = group2、cn = ユーザー、dc = テスト、dc = kunaldc、dc = comは、このグループマッピングプロファイルを使用してフェッチされます。

ユーザgptest はこのグループに属し、そのユーザ名はファイアウォールに domain\username フォーマットとして保存されます 。

test\gptest. として

次に、ユーザードメインがオーバーライドされず、テストではなく test.kunaldc.com される、別のグループマッピングプロファイル (AD FQDN 形式) を構成し ます。

このグループマッピングプロファイルに上記の広告グループのみを含めるには、[グループを含める] オプションを使用します。

この変更をコミットします。

グループマッピングの更新が完了したら、グループマッピングの状態を確認します。

今同じ広告グループ、cn = group2、cn = ユーザー、dc = テスト、dc = kunaldc、dc = com、また、新しいグループマッピングプロファイルのAD-FQDN 形式によってフェッチされます。

このグループに属するユーザー名を注意深く見てください。

ユーザー名の形式が netbios\user から fqdn\user に 変更されました。

ソースは、古いグループマッピングプロファイル- GPOUP-マッピング-テストから新しいものに変更されています,

AD-FQDN-形式。

現在発生している主な問題は、ユーザー id のメカニズム (エージェントまたは代理人ではないユーザー id/GlobalProtect/captive ポータルなど) を介してユーザ名が学習されたことです。 グループマッピングテーブルのユーザー名の形式と一致しません。

同じユーザーからのトラフィックは、このユーザーグループが参照されているセキュリティポリシーと一致しません。