方案
对于用户名到 IP 地址映射, 基于软件和无代理的用户 ID 代理将安装最近学习过的映射。请考虑一个示例, 其中 user1 映射到 ip1, 并且通过无代理用户 id 代理了解此映射, 则源是。现在, 如果 user1 通过同一台 PC 上的 GlobalProtect 启动 VPN 连接并分配了一个新的 IP 地址, 则该用户名到 IP 映射将在防火墙上更改为 user1 和 ip2, 并且源为 GlobalProtect。因此, user1 和 ip1 的旧用户缓存被 user1 和 ip2 的新条目覆盖。
同样, 从活动目录域控制器检索的组在每个组映射配置文件中都应该是唯一的。
可以争辩说, 在安全策略中通常引用了组, 并且不管我们从哪个组映射配置文件中
得到这些信息, 但在某些情况下, 它确实很重要, 并且很可能完全打开表.
在下面的方案中, 您将注意到, 当从两个不同的组映射配置文件中引用同一组时, 由于未能将用户与它所属的活动目录组匹配, 因此可能导致与安全策略匹配的问题。
组映射配置文件使用域设置下的用户域作为测试配置, 其中
测试是与 FQDN 域名 test.kunaldc.com 等效的 netbios 域名.
使用此组映射配置文件获取组、cn=group2,cn=users,dc=test,dc=kunaldc,dc=com.
用户gptest属于此组, 其用户名被存储为防火墙上的域 \ 用户名格式
作为测试 \ gptest.
现在, 配置另一个组映射配置文件, 即AD FQDN 格式, 其中不重写用户域, test.kunaldc.com而不是测试.
使用 "包含组" 选项可在该组映射配置文件中仅包含上述 AD 组。
提交此更改。
组映射刷新完成后, 检查组映射状态。
现在, 同样的 AD 组cn=group2,cn=users,dc=test,dc=kunaldc,dc=com也被新的组映射配置文件ad FQDN 格式所提取.
仔细查看属于此组的用户名。
用户名格式已从netbios \ 用户更改为fqdn \ 用户.
源也已从旧的组映射配置文件- GPOUP 映射测试转换为新的,
AD FQDN 格式.
现在出现的主要问题是通过任何用户 id 机制 (代理或无代理用户 id/GlobalProtect/捕获门户等) 学习的用户名。 与组映射表中的用户名格式不匹配。
来自同一用户的通信将无法与引用此用户组的安全策略相匹配。