Workflow und Fehlerbehebung Checkliste für die Durchsetzung von Richtlinien basierend auf Benutzergruppen
Symptom
Symptome
Dieses Dokument enthält einen Spaziergang durch in die Durchsetzung von Richtlinien basierend auf Benutzergruppen aus Active Directory abgerufen
Voraussetzungen
Sie sollten Grundkenntnisse verfügen:
Aktives Verzeichnis
User-ID-Funktion auf der Palo Alto Networks Firewall
Verwendeten Komponenten
Die Informationen in diesem Dokument basiert auf diese Software und Hardware-Versionen:
Palo Alto vernetzt VM Firewall mit PANOS 7.1.7
Active Directory Services, die auf dem Microsoft 2012 R2 Server laufen, der als Domain-Controller konfiguriert ist
Die Informationen in diesem Dokument wurde von den Geräten in einer bestimmten Testumgebung erstellt.
Wenn Ihr Netzwerk online ist, stellen Sie sicher, dass Sie die mögliche Auswirkungen der alle Befehle verstehen
Betrachten Sie eine Sicherheitsrichtlinie, die mit Gruppen konfiguriert ist, die von Active Directory Domain Controllern mit LDAP abgerufen
werden. die Richtlinien erscheinen wie unten, wobei die Gruppen unter dem Abschnitt "Benutzer" konfiguriert sind.
Lassen Sie uns schauen Sie wie die PAN-Firewall Richtlinien basierend auf die Gruppen, die in den Sicherheitsrichtlinien konfiguriert erzwingt
Diagnose
Workflow
1. Die Firewall führt eine Top-down-Suche durch die Politik Regelwerk, eine Übereinstimmung zu finden und nutzt die Gruppe als eines der wichtigsten Felder.
2. Die User-ID-Funktion auf den Palo Alto Networks-Firewalls zählt Benutzernamen mit IP-Adresse auf.
Es holt die IP-Adresse aus dem Quell-IP-adressFELD des IP-Headers der Pakete ab und kommt auf die Sicherheitszone der Firewall, in der die User-ID -Funktion aktiviert ist .
Halte die Sicherheitsrichtlinie oberhalb derer mit Gruppen mit den Namen "captive Portal" konfiguriert ist und "Sme_group" aus abgerufen aktiv-Verzeichnis mit LDAP, im Abschnitt "Benutzer"
Im obigen Beispiel ist die Sicherheitsrichtlinie konfiguriert aus Zone "dmz" oder "Vertrauen" Daher ist es wichtig, dass diese Benutzer-Id auf diese Sicherheitszonen aktiviert werden soll
3. Nach der Aktivierung der Firewall Versuche, den Benutzernamen für jede IP-Adresse während der Installationsphase Sitzung zu lösen, auch bekannt als "Slowpath"
Für den Benutzernamen, IP-Mapping kann es eine der Methoden nutzen wie z. B. Software User-ID-Agent, PANOS und agentenlose Userid, Syslog, XMLAPIs oder Captive Portal etc. basieren
4. Sobald die Firewall wird der Benutzername entspricht soll die IP-Quelladresse des Pakets im nächsten Schritt die Gruppen bestimmen, zu denen dieser Benutzer gehört
In den meisten Unternehmen ruft Firewall Gruppen von active Directory-Domänencontroller mit LDAP
5. Jetzt vergleicht sie den Benutzernamen aus dem Benutzernamen-IP-Cache mit dem Benutzernamen in der Gruppenzuordnung Cache auf der Datenebene
6. Wenn der Benutzername genau zwischen den zwei Caches entspricht ist die Firewall in der Lage, die IP-Adresse mit den Benutzernamen und ihre entsprechenden Gruppenmitgliedschaft zu bestimmen
Mit dem Gruppennamen oder Mitgliedschaft abgerufen kann es bis zu eine Top-down-Politik aussehen durchführen finden Sie eine passende Politik
Resolution
Fehlerbehebung und Checkliste
1. Stellen Sie sicher, dass Gruppen in diesem Szenario aus dem aktiven Verzeichnis abgerufen werden,
die beiden Gruppen, nämlich Captive_Portal und sme_group, werden aus dem aktiven Verzeichnis abgerufen .
2. ÜberPrüfen Sie die Mitgliedschaft in diesen Gruppen
dabei können Sie explizit nach den Nutzern suchen, die Teil der Gruppe "sme_group" sind, oder ähnlich wie bei " Captive_Portal"
3. Gruppenzuordnung Cache zeigt die Mitgliedschaft von Benutzern mit den jeweiligen Gruppen, zu denen, die es gehört, im active directory
4. Beachten Sie den Benutzernamen und sein Format im User-IP-Cache auf der Datenebene (DP)
es ist das gleiche wie das im Gruppen-Mapping- Cache
Da der Benutzername "test\testuser" im IP-User-Cache genau mit dem Benutzernamen im Gruppen-
Mapping-Cache übereinstimmt, kann die Firewall alle Richtlinien finden, in denen diese Gruppen verwendet werden .
Schauen Sie sich die "Gruppen an, zu denen der Nutzer gehört (in der Politik verwendet)" und die Gruppen unter ihm
Es listet alle Gruppen, die der Benutzer "Test\testuser" gehört und die in den Richtlinien verwiesen wird
Wenn der Benutzername kein MIS-Match werden dann wäre diese Gruppen nicht vorhanden
Bitte beachten Sie, dass Sie doppelte Gruppen im Gruppen-Mapping-Profil abholen, um weitere Informationen zu diesem