GlobalProtect ローカル認証を持つユーザー名を IP ユーザマッピングで上書き

問題

ユーザーがローカルユーザーデータベースを使用して GlobalProtect (gp) 経由でパロアルトネットワークファイアウォールに接続すると、ユーザーは gp ユーザーとして正しく識別されます。次に、同じユーザーがドメインリソースにアクセスすると、ユーザー-ip マッピングが変更され、ユーザーが "ドメイン/ユーザー名" という形式で広告ユーザーとして示されます。そのため、GP ユーザーに適用される特定のセキュリティルールは適用されません。

原因

ローカルデータベースはドメイン情報を使用しないため、GP ユーザーはユーザ名としてのみ表示されます。ただし、GP ユーザーが ip ユーザーテーブルにマップされると、ユーザー id プロセスから更新が届き、ドメイン/ユーザー名のパラダイムを反映するようにユーザの ip ユーザマッピングが変更されます。これは、PAN-OS の予想される動作です。

セキュリティポリシーが GlobalProtect ユーザーに正しく適用されるようにするには、以下のいずれかの手順を実行します。

• 必要に応じて、GP ユーザー用に実装されたポリシーにユーザーの広告バージョンを追加します。
• GlobalProtect 認証を、LDAP Radius などのリモートのものにローカルから変更します。

所有者: sberti