使用 IP 用户映射覆盖的本地身份验证的 GlobalProtect 用户名

问题

当用户使用本地用户数据库通过 GlobalProtect (gp) 连接到帕洛阿尔托网络防火墙时, 用户被正确地标识为 GP 用户。接下来, 当同一用户访问域资源时, 将修改用户 ip 映射, 并将用户显示为 "域/用户名" 窗体中的广告用户。因此, 适用于 GP 用户的特定安全规则将不会被强制执行。

原因

本地数据库不使用域信息, 因此 GP 用户仅显示为用户名。但是, 在将 GP 用户映射到 ip 用户表之后, 可能会从用户 id 过程中到达一个更新, 并修改 user ip 用户映射以反映域/用户名范式。这是 PAN OS 的预期行为。

为了确保安全策略正确应用于 GlobalProtect 用户, 请执行以下任务之一:

• 在需要时, 将用户的 AD 版本添加到为 GP 用户实现的策略中。
• 将 GlobalProtect 身份验证从本地更改为远程, 如 LDAP 半径。

所有者： sberti