Lista de control de flujo de trabajo y solución de problemas para la aplicación de políticas basada en grupos de usuarios
Symptom
Síntomas de
Este documento ofrece un recorrido en la aplicación de políticas basada en grupos de usuarios obtenidos de Active Directory
Requisitos previos
Debe tener conocimientos de:
Función de ID de usuario de Active Directory en el cortafuegos de Palo Alto Networks
Componentes utilizados
La información contenida en este documento se basa en estas versiones de software y hardware:
Palo Alto Networks VM Firewall ejecutando Panos 7.1.7
servicios de Active Directory que se ejecutan en Microsoft 2012 R2 Server, configurado como un controlador de dominio
La información contenida en este documento fue creada de los dispositivos en un entorno de laboratorio específicos.
Si tu red es vivo, asegúrese de que usted entiende el impacto potencial de cualquier comando de
Considere una directiva de seguridad configurada con grupos recuperados de controladores de dominio de Active Directory mediante LDAP
la directiva aparece como se muestra a continuación, con los grupos configurados en la sección "usuario"
Vamos a echar un vistazo de cómo el firewall PAN aplicar políticas basadas en los grupos configurados en las políticas de seguridad
Diagnóstico
Flujo de trabajo
1. El servidor de seguridad realiza una búsqueda a través de la base de reglas de política para buscar a una coincidencia descendente y utiliza el grupo como uno de los campos clave.
2. La función User-ID de los firewalls de Palo Alto Networks enumera los nombres de usuario con dirección IP.
Obtiene la dirección IP del campo de dirección IP de origen del encabezado IP de los paquetes, ingresando en la zona de seguridad del cortafuegos donde está habilitada la función ID de usuario
Considerar la política de seguridad que se configura con grupos llamados "portal cautivo" y "sme_group" Obtenido de active directory con LDAP, en la sección "usuario"
En el ejemplo anterior se configura la Directiva de seguridad de zona "dmz" o "confianza" por lo tanto, es imperativo que id de usuario debe estar habilitado en estas zonas de seguridad
3. Una vez activado el firewall intenta resolver el nombre de usuario para cada dirección IP durante la fase de instalación de la sesión, también conocido como 'slowpath'
Para nombre de usuario para la asignación de ip puede aprovechar cualquiera de los métodos tales como Software basado en id de usuario agente, PANOS o ID de usuario sin agente, Syslog, XMLAPIs etcetera de Portal cautivo
4. Una vez que el firewall recibe el nombre de usuario correspondiente a la dirección IP de origen del paquete el siguiente paso es determinar los grupos a los que pertenece este usuario
En la mayoría de las empresas firewall recupera grupos de controladores de dominio de active directory mediante LDAP
5. Ahora compara el nombre de usuario de la caché de nombre de usuario-ip con el nombre de usuario en la caché de asignación de grupo en el plano de datos
6. Si el nombre de usuario coincide con exactamente entre las dos cachés entonces el firewall es capaz de determinar la dirección IP con su nombre de usuario y su correspondiente pertenencia a un grupo
Con el nombre de grupo o pertenencia obtenido se puede realizar una mirada política descendente hasta encontrar una política que
Resolution
Solución de problemas y lista de verificación
1. Asegúrese de que los grupos se recuperen de Active Directory
en este escenario los dos grupos, a saber, captive_portal y sme_group se recuperan de Active Directory
2. Compruebe la membresía dentro de estos grupos
en este puede buscar explícitamente a los usuarios que forman parte del grupo "sme_group" o similarmente para "captive_portal"
3. Caché de asignación de grupo que muestra la pertenencia de los usuarios con los respectivos grupos pertenece a active directory
4. Note el nombre de usuario y su formato en la caché de IP del usuario en el plano de datos (DP) es
el mismo que el de la caché de asignación de grupo
Dado que el nombre de usuario "test\testuser" en la caché de usuario IP coincide exactamente con el nombre de usuario de la caché de asignación de grupos, de
modo que el cortafuegos puede encontrar todas las directivas en las que se utilizan estos grupos
Mire de cerca los "grupos a los que pertenece el usuario (utilizado en la Directiva)" y los grupos que lo comparten
Es una lista de todos los grupos a que pertenece el usuario "test\testuser" y que se hace referencia en las políticas
Si el nombre de usuario no debía ser una falta de coincidencia entonces estos grupos no estarían presentes
Consulte evitar la obtención de grupos duplicados en el perfil de asignación de grupo para obtener más información sobre este