Der Benutzer kann zeitweise nicht auf bestimmte Ressourcen zugreifen GlobalProtect

• Zeitweilige Probleme beim Zugriff auf eine Ressource über GP.Der Zugriff auf diese Ressource wird über eine benutzerbasierteID Sicherheitsregel gewährt.
• GlobalProtect wird für das Lernen von User-MappingIP verwendet. Andere User-Source(s) werden ebenfalls für User-Mapping konfiguriert, z.B. Windows-basierter UserID-AgentIDIP, XMLAPI etc.
• Wenn ein Benutzer/eine Benutzergruppe aus der Sicherheitsregel entfernt wird, wird das Problem nicht angezeigt.
• Durch erneutes Einreichen HIP des Profils wird das Problem behoben. HIP Das Profil wird standardmäßig stündlich übermittelt, wodurch das Problem nach einiger Zeit automatisch behoben wird.
• Zum Zeitpunkt der Ausgabe zeigt "show user ip-user-mapping ip <globalprotect_client_IP>" den Benutzer "Unbekannt" an:

• In den User-LogsID sehen wir Folgendes:

Laut diesen Logbüchern hat sich Benutzer: GP pantac\paloalto um 04/20 19:31 eingeloggtGP. Gleich danach wird ein weiteres Login-Ereignis für dasselbe IP durch XMLAPIgelernt.Beachten Sie, dass sich der Timeout-Wert aufgrund des XMLAPI Anmeldeereignisses von 10800 auf 2700 Sekunden geändert hat.

NOTE: XMLAPI wurde zu Demonstrationszwecken verwendet. Das Problem tritt eher auf, wenn ein Windows-basierter UserID-Agent (oder ein integrierter PanOS-Agent) konfiguriert ist, der Sitzungs-/Sicherheitsprotokolle lesen kann. Beispiel: Wenn sich ein Benutzer anmeldet GP und dann auf eine interne Ressource wie einen Drucker zugreift, der ein Sicherheitsereignis auf der generiert, liest der ADUserID-Agent es und leitet es an firewallweiter. Dadurch wird das vorhandene GP gelernte User-MappingIP überschrieben.

• In den Datenverkehrsprotokollen sehen wir, dass der "Quellbenutzer" verloren gegangen ist und der Datenverkehr mit einer Ablehnungsregel übereinstimmt. Dies ist in der Kundenumgebung möglicherweise nicht ersichtlich, da die Sitzungsprotokollierung bei der standardmäßigen Verweigerung policydeaktiviert ist. In diesem Fall wird eine Lücke in den Verkehrsprotokollen für die spezifische Quelle IPangezeigt.

• Palo Alto Firewall
• GlobalProtect
• Benutzer-ID

• Das Problem trat aufgrund des Zeitlimits für die Benutzeridentifikation auf. 2700 Sek. (45 min) in diesem Szenario. Dies ist auch die Standard-Zeitüberschreitung, die in User-Agent-SetupsID festgelegt ist.
• GP HIP Die Profilübermittlung erfolgt stündlich und aktualisiert die Benutzerzuordnung, da die BenutzerzuordnungIPIP firewall jedoch durch XMLAPIüberschrieben wurde, wurde die Zeitüberschreitung auf 45 Minuten zurückgesetzt. Nach 45 Minuten wurde das Mapping gelöscht und da das nächste HIP Profil noch nicht übermittelt wurde, wird der GP Benutzer die erwartete Sicherheit policynicht erreichen.

• Erhöhen Sie das Zeitlimit für die Benutzeridentifikation auf mindestens 1 Stunde, damit sichergestellt ist, dass der Agent in der Lage ist, ein Profil zu übermittelnHIP, bevor firewall der GP Cache gelöscht wird.
• Hinweis: Die Zeitüberschreitung für die Benutzeridentifikation unterliegt einer Feinabstimmung.In einer ziemlich statischen Büroumgebung könnte es sicher sein, dieses Timeout auf 600+ Minuten festzulegen, da die Standardlebensdauer von Kerberos-Benutzertickets 10 Stunden beträgt. In einem sehr dynamischen Umfeld mit vielen Benutzern teilen Arbeitsstationen kann es vorteilhafter, das Zeitlimit auf einen kürzeren Zeitraum festgelegt sein.

• So erhöhen Sie den Windows-basierten UserID-Agenten: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZzCAK