ユーザー グループに基づいてポリシーを適用するワークフローおよびトラブルシューティングのチェックリスト

ユーザー グループに基づいてポリシーを適用するワークフローおよびトラブルシューティングのチェックリスト

17601
Created On 09/25/18 20:34 PM - Last Modified 06/14/23 07:29 AM


Symptom


兆候

このドキュメントは、Active Directory から取得されたユーザー グループに基づいてポリシーに散歩を提供します

 

前提条件

作業知識があるべきであります。

 
パロアルトのネットワークファイアウォール上のアクティブディレクトリのユーザー Id 機能

 

使用するコンポーネント

このドキュメントの情報は、これらのソフトウェアやハードウェアのバージョンに基づいています。

  パノス7.1.7 を実行しているパロアルトネットワークの VM ファイアウォール
は、ドメインコントローラー として構成された Microsoft 2012 r2 サーバー上で実行しているアクティブディレクトリサービス

 

このドキュメントの情報は、特定のラボ環境にあるデバイスから作成されました。
あなたのネットワークが稼働している場合は、任意のコマンドの潜在的な影響を理解することを確認します。

 

LDAP を使用して active directory ドメインコントローラから取得されたグループで構成されているセキュリティポリシーを検討
するポリシーは以下のように表示 され、[ユーザー] セクションで構成されたグループ


Policy.jpg


どのようにパン ファイアウォール セキュリティ ポリシーで構成したグループに基づいたポリシーを強制する見てをみましょう 

診断

ワークフロー 

 

Userid_Work_flow。JPG

 

 

 

 

1.  ファイアウォールは、ルックアップ一致を検索するポリシー ルールベースによるトップダウンを実行し、グループを使用して、キー フィールドの 1 つとして。 

 

2.  パロアルトネットワークのファイアウォールのユーザー id 機能は、ip アドレスを持つユーザ名を列挙します。これは、
パケットの ip ヘッダーの送信元 ip アドレスフィールドから ip アドレスをフェッチし、ユーザー id 機能が有効になっているファイアウォールのセキュリティゾーンを ingressingします。

 

「キャプティブポータル」という名前のグループをセキュリティ ポリシーの構成、"sme_group"から取得して「ユーザー」セクションの下で、LDAP を使用して active directory


ゾーン"dmz"から上記の例ではセキュリティ ポリシーが構成されている、または「信頼」したがって、それはそのユーザー id をこれらのセキュリティ ゾーンを有効にすることが不可欠

 

3.  セッションのインストール フェーズ中にすべての IP アドレスのユーザー名を解決しようとするファイアウォールを有効にした後は、'slowpath' としても知られる

ユーザー名と ip のマッピングのそれが活用のいずれかソフトウェア ベースのユーザー id エージェント、パノスまたはエージェントレスの userid Syslog、XMLAPIs または非脱落型ポータルなどなど、


4.  ファイアウォールに対応するユーザー名を取得します。次のパケットのソース IP アドレスはこのユーザーが所属するグループを決定するには


ほとんどの企業のファイアウォールは LDAP を使用して active directory ドメイン コント ローラーからグループを取得します。


5.  今すぐユーザー名 ip キャッシュからデータ面でグループ マッピング キャッシュ内のユーザー名とユーザー名を比較します。


6.  2 つのキャッシュとユーザー名が一致する場合、ファイアウォールが IP アドレスのユーザ名とその対応するグループ メンバーシップを決定することができます。


グループ名またはメンバーシップの取得と実行できるトップダウンの政策見てまで一致するポリシーを検索

Resolution


トラブルシューティング ・ チェックリスト 

 

1.
このシナリオでは、captive_portal と sme_group の2つのグループが active directory から取得されることを確認します。 

 

グループ マッピングの状態がすべて。JPG

 

2.  これらのグループ内のメンバーシップを確認
するこの場合は、明示的にグループ "sme_group" または同様に "captive_portal " の一部であるユーザーを探すことができます


グループのコンテンツ。JPG


3. Active directory に所属するそれぞれのグループにユーザーのメンバーシップを表示するグループ マッピング キャッシュ

 show_user_userids。JPG

 

 4. データプレーン (DP) のユーザー-ip キャッシュ内のユーザ名とその形式は、
グループマッピングキャッシュのものと同じであることに注意してください。 

 

     ip ユーザキャッシュのユーザ名 "test\testuser" はグループマッピングキャッシュ内のユーザ名と正確に一致するため、
ファイアウォールはこれらのグループが使用されているすべてのポリシーを見つけることができます  

 
     「ユーザーが所属するグループ (ポリシーで使用)」セクションとその下のグループをよく見てください。

     "Test\testuser"ユーザーが属する、ポリシーで参照されているすべてのグループが一覧表示されます。  

 

ユーザー マッピング 2. JPG

 

 ユーザー名がミスに一致することはなかった場合、これらのグループにはありません。 

 

詳細については、グループマッピングプロファイルの重複グループのフェッチを避けるを参照してください。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cli8CAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language