用户ID映射不一致时 FQDN 和网生物名称不同

用户ID映射不一致时 FQDN 和网生物名称不同

19065
Created On 03/05/19 00:01 AM - Last Modified 03/26/21 18:21 PM


Symptom


IP 间 firewall 歇性地显示用户映射,并显示下文所示的不同域(例如输出)。
 
admin@firewall(active)> show user ip-user-mapping all


IP                                  Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
----------------------------------- ------ ------- -------------------------------- -------------- -------------
10.1.100.22                         vsys1  UIA     testdomain.com\jsmith             26265          26265        
10.1.100.26                         vsys1  UIA     sampledomain\user1                21234          21234        
10.1.100.56                         vsys1  UIA     sampledomain\user2                28739          28739        
10.1.100.19                         vsys1  UIA     sampledomain\user3                22501          22501

   

由于组映射在 firewall 使用示例域上,用户流量有时与正确的安全性不匹配 policy 。
 
admin@firewall(active)> show user group name cn=access,ou=groups,dc=sampledomain,dc=com

short name: sampledomain\access
source type: ldap
source: groups

[1 ] sampledomain\jsmith
[2 ] sampledomain\user1
[3 ] sampledomain\user2
[4 ] sampledomain\user3



 

Environment


  • PAN-OS 8.1 及以上。
  • 帕洛阿尔托网络 firewall IP 从窗口代理获取用户映射。
  • 只有一个活动目录域(sampledomain.com),但域的 Netbios 名称是不同的"测试域"。

 

Cause


当 FQDN 和 Netbios 名称不同时, AD 两个域和最新徽标事件的 lave 徽标事件中的安全日志将更新 IP 为用户映射。

NOTE 这不是多域环境的情况,而只是 FQDN 活动目录上的 NetBIOS 名称不同。



 

Resolution


为了解决在示例域和测试域中都看到映射的问题,我们可以在 Windows 用户ID 代理上的忽略列表中添加测试域\*。
当收到测试域的映射时,用户代理将忽略它们,而不是将映射发送到 firewall 。

有关如何更新 Windows 代理上的忽略列表的详细信息,请参阅"用户中如何忽略用户"的详细信息ID
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boGJCAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language