Asignación de userID incoherente cuando FQDN y el nombre netbios son diferentes

Asignación de userID incoherente cuando FQDN y el nombre netbios son diferentes

19077
Created On 03/05/19 00:01 AM - Last Modified 03/26/21 18:21 PM


Symptom


IP a las asignaciones de usuarios en el firewall espectáculo intermitente con diferentes dominios como se muestra a continuación (salida de ejemplo).
 
admin@firewall(active)> show user ip-user-mapping all


IP                                  Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
----------------------------------- ------ ------- -------------------------------- -------------- -------------
10.1.100.22                         vsys1  UIA     testdomain.com\jsmith             26265          26265        
10.1.100.26                         vsys1  UIA     sampledomain\user1                21234          21234        
10.1.100.56                         vsys1  UIA     sampledomain\user2                28739          28739        
10.1.100.19                         vsys1  UIA     sampledomain\user3                22501          22501

   

Como la asignación de grupo en el firewall sampledomain de usos, el tráfico de usuario a veces no coincide con la seguridad policy correcta.
 
admin@firewall(active)> show user group name cn=access,ou=groups,dc=sampledomain,dc=com

short name: sampledomain\access
source type: ldap
source: groups

[1 ] sampledomain\jsmith
[2 ] sampledomain\user1
[3 ] sampledomain\user2
[4 ] sampledomain\user3



 

Environment


  • PAN-OS 8.1 y superior.
  • Palo Alto Networks firewall llegando a la asignación de usuarios desde el agente de IP Windows.
  • Solo un dominio de Active Directory (sampledomain.com), pero el nombre Netbios para el dominio es diferente "testdomain".

 

Cause


En el caso de que el FQDN nombre and Netbios sea diferente, los registros de seguridad en AD eventos de inicio de sesión de lave para ambos dominios y el evento de inicio de sesión más reciente serían los actualizados a la IP asignación de usuarios.

NOTE : Este no es un caso de un entorno de varios dominios, sino simplemente que los FQDN nombres y NetBIOS son diferentes en Active Directory.



 

Resolution


Para resolver el problema de las asignaciones que se ven tanto para sampledomain como para testdomain, podemos agregar testdomain\* a la lista ignore del agente userID de Windows.
Cuando se reciben asignaciones para testdomain, el agente de usuario las omitirá y no enviará la asignación al firewall archivo .

Para obtener más información sobre cómo actualizar la lista ignorar en el agente de Windows, consulte Cómo ignorar usuarios en usuario-ID.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boGJCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language