Noms d'utilisateur GlobalProtect avec authentification locale écrasé par le mappage IP-utilisateur

Demande client

Lorsqu'un utilisateur se connecte au pare-feu de Palo Alto Networks via GlobalProtect (GP) à l'aide de la base de données des utilisateurs locaux, l'utilisateur est correctement identifié comme un utilisateur généraliste. Ensuite, lorsque le même utilisateur accède aux ressources de domaine, l'utilisateur-IP-Mapping est modifié et affiche l'utilisateur en tant qu'utilisateur d'annonce sous la forme «domain/username». Par conséquent, les règles de sécurité spécifiques qui s'appliquent aux utilisateurs de GP ne seront pas appliquées.

Cause

La base de données locale n'utilise pas les informations de domaine, de sorte que l'utilisateur GP apparaît comme juste le nom d'utilisateur. Toutefois, une fois que l'utilisateur GP est mappé à la table d'utilisateurs IP, une mise à jour peut arriver à partir du processus UserID et le mappage utilisateur IP utilisateur est modifié pour refléter le paradigme domaine/nom d'utilisateur. C'est le comportement attendu de Pan-OS.

Afin de garantir que les stratégies de sécurité sont correctement appliquées aux utilisateurs de GlobalProtect, effectuez l'une des tâches suivantes ci-dessous:

• Ajoutez la version publicitaire des utilisateurs aux stratégies mises en œuvre pour les utilisateurs GP si nécessaire.
• Remplacez l'authentification GlobalProtect de local par une autre à distance, par exemple, RADIUS LDAP.

propriétaire : sberti