Demande client
La fonctionnalité d'ID utilisateur sans agent est configurée avec le sondage client activé à l'aide de l'opérateur de serveur et des informations d'identification du lecteur de journal des événements. Lors de l'affichage du mappage IP, les IPS sont mappés avec le nom d'utilisateur du service (admin) et non le nom d'utilisateur réel.
Remarque: l'ID utilisateur sans agent a été introduit dans Pan-OS 5,0.
Voici un exemple de la table de mappage utilisateur-IP dans ce scénario:
10.38.135.32 vsys1 AD Domain/admin 1995 1995
10.39.240.252 vsys1 ad BLR-Els-NW-TS-1\administrator 1222 1222
172.16.114.58 vsys1 inconnu inconnu 0 3
10.38.17.242 vsys1 ad sw017242\administrator 429 429
10.38.35.31 vsys1 inconnu inconnu 2 5
10.38.41.125 vsys1 AD Domain/admin 98 98
10.38.41.124 vsys1 AD Domain/admin 876 876
10.38.39.79 vsys1 AD Domain/admin 2169 2169
10.17.58.44 vsys1 ad odls-win7\administrator 1708 1708
10.38.172.154 vsys1 AD Domain/admin 1332 1332
10.20.139.164 vsys1 AD Domain/admin 1803 7
10.38.153.80 vsys1 inconnu inconnu 1 4
10.38.97.115 vsys1 AD Domain/admin 227 227
10.38.172.159 vsys1 AD Domain/admin 1450 1450
10.38.39.243 vsys1 inconnu inconnu 0 3
Le domaine/Admin ci-dessus est l'information d'identification d'utilisateur avec le lecteur de journal d'événements, l'opérateur de serveur et les privilèges d'utilisateur com distribués.
Un journal userid correspondant peut apparaître comme suit:
admin > Show log userid direction égale en arrière
Domaine, temps de réception, numéro de série, type, menace/type de contenu, version de configuration, générer du temps, système virtuel, IP, utilisateur, DataSourceName, EventID, nombre de répétitions, timeout, beginport, EndPort, DataSource, DataSourceType, seqno, actionFlags
1, 2013/03/19 10:55:23, 0009C101625, UserID, login, 3, 2013/03/19 10:55:23, vsys1, 10.38.97.103, Domain/admin, sondage, 0, 1, 2700, 0, 0, Active-Directory, inconnu, 1861, 0x0
1, 2013/03/19 10:52:54, 0009C101625, UserID, login, 3, 2013/03/19 10:52:54, vsys1, 10.38.45.188, Domain/admin, Probing, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1860, 0x0
1, 2013/03/19 10:52:44, 0009C101625, UserID, login, 3, 2013/03/19 10:52:44, vsys1, 10.38.97.120, Domain/admin, Probing, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1859, 0x0
1, 2013/03/19 10:51:34, 0009C101625, UserID, login, 3, 2013/03/19 10:51:34, vsys1, 10.38.41.0, Domain/admin, Probing, 0, 1, 2700, 0, 0, Active-Directory, Unknown, 1858, 0x0
1, 2013/03/19 10:50:22, 0009C101625, UserID, login, 3, 2013/03/19 10:50:22, vsys1, 10.38.61.51, ixia6151\admin, Probing, 0, 1, 2700, 0, 0, Active-Directory, inconnu, 1857, 0x0
Cause
La sonde client est exécutée à l'aide du même nom d'utilisateur dans les journaux des événements de l'annonce. L'utilisateur admin Probing réussit pour toutes les IPS qui sont sondées, et le nom d'utilisateur réel dans le mappage IP est écrasé avec le nom d'utilisateur admin.
Résolution
Placez l'utilisateur admin dans la liste Ignorer pour empêcher le nom d'utilisateur d'être écrasé.
- Entrez le CLI en mode de configuration.
> configurer
- Ajoutez l'utilisateur admin à la liste ignorer.
# Set User-ID-Collector ignore-User [domain\admin admin]
un autre exemple au format standard:
# Set User-ID-Collector ignore-User [AD2008\test test]
pour ajouter en une seule utilisation, n'utilisez pas les crochets
# Set User-ID-Collector ignorer-User AD2008\test
- Valider les modifications
# Commit
propriétaire : anatrajan