2. パロアルトネットワークのファイアウォールのユーザー id 機能は、ip アドレスを持つユーザ名を列挙します。これは、 パケットの ip ヘッダーの送信元 ip アドレスフィールドから ip アドレスをフェッチし、ユーザー id 機能が有効になっているファイアウォールのセキュリティゾーンを ingressingします。
「キャプティブポータル」という名前のグループをセキュリティ ポリシーの構成、"sme_group"から取得して「ユーザー」セクションの下で、LDAP を使用して active directory
ゾーン"dmz"から上記の例ではセキュリティ ポリシーが構成されている、または「信頼」したがって、それはそのユーザー id をこれらのセキュリティ ゾーンを有効にすることが不可欠
3. セッションのインストール フェーズ中にすべての IP アドレスのユーザー名を解決しようとするファイアウォールを有効にした後は、'slowpath' としても知られる
ユーザー名と ip のマッピングのそれが活用のいずれかソフトウェア ベースのユーザー id エージェント、パノスまたはエージェントレスの userid Syslog、XMLAPIs または非脱落型ポータルなどなど、
4. ファイアウォールに対応するユーザー名を取得します。次のパケットのソース IP アドレスはこのユーザーが所属するグループを決定するには
ほとんどの企業のファイアウォールは LDAP を使用して active directory ドメイン コント ローラーからグループを取得します。
5. 今すぐユーザー名 ip キャッシュからデータ面でグループ マッピング キャッシュ内のユーザー名とユーザー名を比較します。
6. 2 つのキャッシュとユーザー名が一致する場合、ファイアウォールが IP アドレスのユーザ名とその対応するグループ メンバーシップを決定することができます。
グループ名またはメンバーシップの取得と実行できるトップダウンの政策見てまで一致するポリシーを検索
Resolution
トラブルシューティング ・ チェックリスト
1. このシナリオでは、captive_portal と sme_group の2つのグループが active directory から取得されることを確認します。