El usuario no puede acceder intermitentemente a ciertos recursos a través de GlobalProtect

• Problemas intermitentes en el acceso a un recurso a través de GP.Este acceso a recursos se permite a través de una regla deID seguridad basada en el usuario.
• GlobalProtect se utiliza para el aprendizaje de mapeo deIP usuarios. Otras fuentes de usuario también están configuradas para la asignación deIDIP usuarios; por ejemplo: agente de ID de usuario basado en Windows, XMLAPI etc.
• Cuando el usuario/grupo de usuarios se elimina de la regla de seguridad, el problema no se ve.
• Volver a enviar HIP el perfil resuelve el problema. HIP El perfil se envía cada hora de forma predeterminada, lo que también resolverá automáticamente el problema después de un tiempo.
• En el momento de la edición "show user ip-user-mapping ip <globalprotect_client_IP>" muestra "Unknown" user:

• En los registros de usuarioID , vemos lo siguiente:

De acuerdo con estos registros, GP el usuario: pantac\paloalto inició sesión a GP las 04/20 19:31. Justo después de eso, otro evento de inicio de sesión para el mismo IP se aprende a través de XMLAPI.Observe que el valor de tiempo de espera cambió de 10800 a 2700 segundos debido al evento de inicio de XMLAPI sesión.

NOTE: XMLAPI se ha utilizado con fines de demostración. Es más probable que ocurra un problema cuando se configura el agente UserID basado en Windows (o el agente integrado de PanOS) que tiene la capacidad de leer registros de sesión / seguridad. Por ejemplo: si un usuario inicia sesión y GP luego accede a un recurso interno como la impresora que genera un evento de seguridad en el , el ADagente UserID lo leerá y reenviará a firewall. Esto sobrescribirá el mapeo de usuarioIP aprendido existenteGP.

• En los registros de tráfico, vemos que el "usuario de origen" se pierde y el tráfico comenzó a coincidir con una regla de denegación. Esto puede no ser evidente en el entorno del cliente, ya que el registro de sesión está deshabilitado en la denegación predeterminada.policy En ese caso, se verá una brecha en los registros de tráfico para la fuente IPespecífica.

• Palo Alto Firewall
• GlobalProtect
• El usuario-ID

• El problema se produjo debido al tiempo de espera de identificación del usuario; 2700 segundos (45 min) en este escenario. Este es también el tiempo de espera predeterminado establecido en las configuraciones de agente deID usuario.
• GP HIP el envío del perfil se realiza cada hora y actualiza la asignación de usuario, sin embargo, debido a que la asignación firewall de usuarioIP se sobrescribió en XMLAPI,IP el tiempo de espera se restableció a 45 minutos. Después de 45 minutos, el mapeo se borró y, dado que el siguiente HIP perfil aún no se ha enviado, el usuario no alcanzará la GP seguridad policyesperada.

• Aumente el tiempo de espera de identificación de usuario a al menos 1 hora para garantizar que el GP agente podrá enviar HIP el perfil antes firewall de que se elimine la memoria caché.
• Nota: El tiempo de espera de identificación de usuario está sujeto a ajustes finos.En un entorno de oficina bastante estático, podría ser seguro tener este tiempo de espera establecido en 600+ minutos, ya que la duración predeterminada del vale de usuario kerberos es de 10 horas. En un entorno muy dinámico con muchos usuarios que comparten las estaciones de trabajo, puede ser más beneficioso establecer el tiempo de espera para un período más corto.

• Cómo aumentar en el agente de ID de usuario basado en Windows: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZzCAK