¿El Firewall agente de usuario de consulta para un usuario ID "desconocido"?

• Palo Alto Firewall .
• PAN-OS por debajo de las 10.0.
• Usuario ID configurado para obtener la asignación del User- ID Agent

El agente ID user-agent se comunicará con el para firewall cualquier nuevo ID User-mappings, y (de forma predeterminada) el firewall will query the ID User-agent para cualquier dirección vista con la asignación de usuarios como IP "desconocida" en una zona que tiene ID user- habilitado.

El comportamiento predeterminado es consultar usuarios desconocidos desde el ID agente user-. La configuración se puede encontrar mediante el siguiente comando.

admin@PA > show system state | match query
cfg.useridd.query-unknown-ip: 1

Este comportamiento es configurable.Para deshabilitar la próxima generación firewall de consultas al agente user-, utilice el siguiente ID comando:

admin@PA > debug user-id query-unknown-ip off 
cfg.useridd.query-unknown-ip: 0

• Anteriormente, si el usuario ID no podía identificar a un usuario a partir de las asignaciones existentes, enviaba una consulta para las asignaciones de usuarios actualizadas a todos los agentes de usuario, lo ID que era útil si había un intervalo de tiempo más largo entre las actualizaciones. Ahora, los agentes envían las actualizaciones de asignación a la firewall o Panorama en tiempo real, por lo que no es necesario enviar la consulta para nuevas asignaciones.