Fehlerbehebung bei ID Benutzer-Cache-Timeout

Fehlerbehebung bei ID Benutzer-Cache-Timeout

26904
Created On 03/23/21 14:00 PM - Last Modified 06/12/23 13:58 PM


Symptom


Benutzer haben Verbindungsprobleme, da Sicherheitsrichtlinien nicht mehr übereinstimmen, die für bestimmte Benutzerkonten konfiguriert sind. Die Datenverkehrsprotokolle zeigen, dass der Datenverkehr zunächst den richtigen Richtlinien entsprach und die Benutzerinformationen ausgefüllt wurden, aber nach einiger Zeit begann der Datenverkehr falsche Richtlinien zu treffen, und es wurden keine Benutzerinformationen ausgefüllt.

Cause


Dies ist wahrscheinlich auf das Benutzer-Cache-TimeoutID zurückzuführen, das den Timeoutwert erreicht, bevor eine neue IP Benutzerzuordnung generiert wird. Dies würde dazu führen, dass bestimmte Benutzer keine IP Benutzerzuordnung mehr auf der firewall haben.

Resolution


Wenn eine IPTo-User-Zuordnung generiert wird, wird ein Timeoutwert angezeigt, der unter Monitor-Registerkarte -> Protokolle - > Benutzer ID  auf der webUI sichtbar ist.

Benutzeriertes Bild

Dieses Timeout bestimmt, wie lange die Zuordnung im Cache gespeichert wird, bis sie entfernt wird. Darüber hinaus wird es aktualisiert, wenn ein neues User-EreignisID verarbeitet wird. Sie können den aktuellen Eintrag TTL IP von zu Benutzerzuordnungseinträgen anzeigen, indem Sie die folgenden CLI Befehle verwenden:
show user ip-user-mapping all
show user ip-user-mapping ip <ip>

Nachfolgend finden Sie einige Beispielausgaben:
   Benutzeriertes Bild

Um das Problem bis zum Cache-Timer nachzuverfolgen:

1. Zwei Protokolle müssen nach der Quelle des Benutzers gefiltert IP werden:
  • Monitor-Registerkarte > Protokolle > Datenverkehr
  • Monitor-Tab > Protokolle > Benutzer ID
2. Suchen Sie in den Verkehrsprotokollen den ersten Eintrag, bei dem der Benutzer die unbeabsichtigte Regel zu treffen begann. In den meisten Umgebungen wird dies als policy-deny-Protokolleintrag für die Interzone-Standardregel oder als manuell konfigurierte Catch-All-Verweigerungsregel angesehen. Sie würden dies auch als den ersten Eintrag betrachten, bei dem das Feld Quellbenutzer leer zu sein beginnt.

3. Beachten Sie die Zeit, zu der das Protokoll generiert wurde, und wechseln Sie dann zu den ID Benutzerprotokollen.
  • Suchen des letzten Eintrags, bevor das Problem für die Adresse dieses Benutzers aufgetreten ist IP
  • Notieren Sie sich die Uhrzeit dieses Eintrags, und fügen Sie ihm das Timeout für diesen Eintrag hinzu.
4. Vergleichen Sie nun das Ergebnis mit dem Zeitpunkt des Verkehrsprotokolls, das notiert wurde. Wenn das Ergebnis vor der Zeit des Datenverkehrsprotokolls liegt, wird angezeigt, dass bei der IP Zuordnung zum Benutzer das Zeittimeout wie erwartet festgelegt wurde und das Cachetimeout angepasst werden muss.

Benutzeriertes Bild

Zum Beispiel:
  • Im Datenverkehrsprotokoll war der erste Eintrag, der einen leeren Quellbenutzer hatte, 03/23 06:37:19.
  • Im Benutzerprotokoll ID sehen Sie einen Eintrag um 03/23 06:32:18 mit einem Timeout von 300 (5 Minuten).
06:32:18 + 5 mins = 06:37:18 sollte die erwartete Zeit sein, die der Cache des Benutzers zum IP Mapping TTL 0 erreicht hat und entfernt wurde. Dies ist 1 Sekunde, bevor der Quellbenutzer leer in den Protokollen angezeigt wurde, was zeigt, dass der Benutzer für die IP Zuordnung abgelaufen sein muss.
 
Abschließend möchte ich sagen:

Die Ursache des Problems in diesem Fall ist, dass Ereignisse, die eine IP Benutzerzuordnung generieren, seltener vorkommen als das Cachetimeout.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001Uu5CAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language