Globalprotect Benutzernamen mit lokaler Authentifizierung, die von IP-User-Mapping überschrieben wird

Problem

Wenn sich ein Nutzer über globalprotect (GP) mit der lokalen Benutzerdatenbank in die Palo Alto Networks Firewall anschließt, wird der Nutzer als GP-Nutzer korrekt identifiziert. Als nächstes, wenn derselbe Benutzer auf Domain-Ressourcen zugreift, wird das User-IP-Mapping modifiziert und zeigt den Benutzer als anzeigen Benutzer in der Form "Domain/username" an. In der Folge werden spezifische Sicherheitsregeln, die für GP-Nutzer gelten, nicht durchgesetzt.

Ursache

Die lokale Datenbank verwendet keine Domain-Informationen, so dass der GP-Benutzer nur als Benutzername erscheint. Nachdem der GP-Benutzer jedoch auf die IP-user-Tabelle abgebildet ist, kann ein Update aus dem UserID-Prozess eintreffen und das IP-User-Mapping des Benutzers wird geändert, um das Domain/username-Paradigma zu reflektieren. Das ist das erwartete Verhalten von Pan-OS.

Um sicherzustellen, dass die Sicherheitsrichtlinien für globalprotect-Nutzer korrekt angewendet werden, führen Sie eine der folgenden Aufgaben aus:

• Fügen Sie die anzeigen Version der Benutzer zu den Richtlinien hinzu, die für die GP-Nutzer bei Bedarf implementiert wurden.
• Ändern Sie die globalprotect-Authentifizierung von lokal auf eine entfernte, wie den LDAP-Radius.

Besitzer: Sberti