GlobalProtect nombres de usuario con autenticación local sobrescritos por IP-mapping de usuarios

Incidencia

Cuando un usuario se conecta al cortafuegos de Palo Alto Networks a través de GlobalProtect (GP) utilizando la base de datos de usuario local, el usuario se identifica correctamente como usuario de GP. A continuación, cuando el mismo usuario acceda a los recursos de dominio, la asignación de IP de usuario se modificará y mostrará al usuario como un usuario de anuncios en el formulario "dominio/nombre de usuario". Como consecuencia, las reglas de seguridad específicas que se aplican a los usuarios de GP no se harán cumplir.

Causa

La base de datos local no utiliza la información de dominio, por lo que el usuario GP aparece como sólo el nombre de usario. Sin embargo, una vez que el usuario GP está asignado a la tabla de usuario IP, puede llegar una actualización desde el proceso de ID de usuario y la asignación de usuario IP-user se modifica para reflejar el paradigma de dominio/nombre de usuario. Este es el comportamiento esperado de pan-os.

Para asegurarse de que las directivas de seguridad se aplican correctamente a los usuarios de GlobalProtect, realice una de las siguientes tareas a continuación:

• Añada la versión de anuncio de los usuarios a las directivas implementadas para los usuarios de GP cuando sea necesario.
• Cambie la autenticación GlobalProtect de local a una remota, por ejemplo, radio LDAP.

Propietario: sberti