Incidencia
La función de ID de usuario sin agente está configurada con el sondeo de cliente habilitado mediante las credenciales del operador de servidor y del registro de eventos. Al ver la asignación de IP, las IPS se mapean con el nombre de usuario del servicio (admin) y no con el nombre de usuario real.
Nota: se introdujo el ID de usuario de agente en pan-os 5,0.
A continuación se muestra un ejemplo de la tabla de asignación de IP del usuario en este escenario:
10.38.135.32 vsys1 ad Domain/admin 1995 1995
10.39.240.252 vsys1 ad BLR-Els-NW-TS-1\administrator 1222 1222
172.16.114.58 vsys1 desconocido 0 3
10.38.17.242 vsys1 ad sw017242\administrator 429 429
10.38.35.31 vsys1 desconocido 2 5
10.38.41.125 vsys1 ad Domain/admin 98 98
10.38.41.124 vsys1 ad Domain/admin 876 876
10.38.39.79 vsys1 ad Domain/admin 2169 2169
10.17.58.44 vsys1 ad ODLS-win7\administrator 1708 1708
10.38.172.154 vsys1 ad Domain/admin 1332 1332
10.20.139.164 vsys1 ad Domain/admin 1803 7
10.38.153.80 vsys1 desconocido 1 4
10.38.97.115 vsys1 ad Domain/admin 227 227
10.38.172.159 vsys1 ad Domain/admin 1450 1450
10.38.39.243 vsys1 desconocido 0 3
El dominio/administrador anterior es la credencial del usuario con el lector de registro de eventos, el operador del servidor y los privilegios de usuario com distribuidos.
Un registro de usuario correspondiente puede aparecer de la siguiente manera:
admin > Mostrar registro ID de usuario dirección igual al revés
Dominio, tiempo de recepción, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, tiempo de generación, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, recuento de repetición, timeout, beginport, endport, DataSource, DataSourceType, seqno, actionFlags
1, 2013/03/19 10:55:23, 0009C101625, ID de usuario, login, 3, 2013/03/19 10:55:23, vsys1, 10.38.97.103, Domain/admin, sondeando, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1861, 0X0
1, 2013/03/19 10:52:54, 0009C101625, ID de usuario, login, 3, 2013/03/19 10:52:54, vsys1, 10.38.45.188, Domain/admin, sondeando, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1860, 0X0
1, 2013/03/19 10:52:44, 0009C101625, ID de usuario, login, 3, 2013/03/19 10:52:44, vsys1, 10.38.97.120, Domain/admin, sondeando, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1859, 0X0
1, 2013/03/19 10:51:34, 0009C101625, ID de usuario, login, 3, 2013/03/19 10:51:34, vsys1, 10.38.41.0, Domain/admin, sondeando, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1858, 0X0
1, 2013/03/19 10:50:22, 0009C101625, ID de usuario, login, 3, 2013/03/19 10:50:22, vsys1, 10.38.61.51, ixia6151\admin, sondeando, 0, 1, 2700, 0, 0, Active-Directory, desconocido, 1857, 0X0
Causa
El sondeo cliente se realiza utilizando el mismo nombre de usuario en los registros de eventos del anuncio. El sondeo de usuario admin tiene éxito para todas las IPS que se están sondeando, y el nombre de usuario real en la asignación de IP se sobrescribe con el nombre de usuario admin.
Resolución
Coloque el usuario admin en la lista ignorar para evitar que se sobreescriba el nombre de usuario.
- Ingrese el CLI en modo configure.
> configurar
- Agregue el usuario admin a la lista ignorar.
# establecer usuario-ID-Collector ignorar-User [domain\admin admin]
otro ejemplo en formato estándar:
# establecer usuario-ID-Collector ignorar-User [AD2008\test Test]
para agregar en un solo uso, no utilice los corchetes
# set User-ID-Collector ignorar-User AD2008\test
- Cometer los cambios
# commit
Propietario: anatrajan