基于用户组策略实施的工作流和疑难解答清单
Symptom
症状
本文档提供了通过走进策略实施基于用户组从 Active Directory 中检索
先决条件
你应该有的工作知识︰
帕洛阿尔托网络防火墙上的活动目录用户 Id 功能
使用组件
此文档中的信息基于这些硬件和软件的版本︰
帕洛阿尔托网络 VM 防火墙运行帕诺斯 7.1.7
在 Microsoft 2012 r2 服务器上运行的活动目录服务, 配置为域控制器
此文档中的信息是从一个特定的实验室环境中的设备创建的。
如果您的网络是活的请确保您了解任何命令的潜在影响
考虑使用 LDAP 从活动目录域控制器检索的组配置的安全策略
该策略显示如下, 并在 "用户" 部分下配置的组
让我们看的看潘防火墙是如何执行基于安全策略中配置的组策略
诊断
工作流
1. 防火墙执行自上而下通过政策库以查找匹配的查找和使用组作为关键的领域之一。
2. 帕洛阿尔托网络防火墙上的用户 id 功能枚举 ip 地址的名称。
它从数据包 ip 头的 "源 ip 地址" 字段中提取 ip 地址, 在启用用户 id 功能的防火墙的安全区域 ingressing 。
考虑上述的安全策略配置了组名为"圈养门户"和"sme_group"检索从活动目录使用 LDAP,在"用户"一节下
在上面的示例中的安全策略配置从区"dmz"或者"信任"因此势在必行应在这些安全区域上启用该用户 id
3. 一旦启用防火墙企图在会话安装阶段解决的每个 IP 地址的用户名,也被称为 'slowpath'
对于用户名 ip 映射到它可能利用的任何方法如软件基于用户 id 代理、帕诺斯或无代理的用户 id,系统日志、XMLAPIs 或圈养门户等
4. 一旦防火墙获取用户名对应的源 IP 地址的下一步是数据包的确定该用户所属的组
在大多数企业防火墙从 active directory 域控制器使用 LDAP 中检索组
5. 现在它比较从用户名 ip 缓存与数据平面上的组映射缓存中的用户名用户名
6. 如果用户名完全匹配之间的两个缓存然后防火墙是能够确定的 IP 地址与它的用户名和其相应的组成员身份
使用组名称或会员检索它可以执行自上而下的政策看达找到匹配的策略
Resolution
故障排除和核对表
1. 确保从活动目录中检索组
在这种情况下, 两个组即 captive_portal 和 sme_group 从活动目录中检索
2. 检查这些组中的成员身份
在此, 您可以显式查找属于组 "sme_group" 或类似于 "captive_portal" 的部分的用户
3. 在活动目录上显示用户与它属于各自的组的成员身份的组映射缓存
4. 注意数据平面 (DP) 上的用户 ip 缓存中的名称和格式
它和组映射缓存中的一个相同.
由于ip 用户缓存中的用户名 "test \ testuser"与组映射缓存中的用户名完全匹配,
因此防火墙可以找到使用这些组的所有策略
仔细查看"用户所属的组 (在策略中使用)"部分及其下的组
它列出与属于用户"test\testuser",在政策中引用的所有组
如果用户名不配合不当的情况这些团体将不会出席