L’utilisateur n’est pas en mesure d’accéder par intermittence à certaines ressources sur GlobalProtect

• Problèmes intermittents lors de l’accès à une ressource sur GP.Cet accès aux ressources est autorisé via une règle de sécurité basée sur l’utilisateurID.
• GlobalProtect est utilisé pour l’apprentissage de la cartographie utilisateurIP . D’autres sources utilisateur sont également configurées pour le mappage utilisateur; par exemple: agent d’ID utilisateurIDIP basé sur Windows, XMLAPI etc.
• Lorsque l’utilisateur/groupe d’utilisateurs est supprimé de la règle de sécurité, le problème n’apparaît pas.
• La nouvelle soumission HIP du profil résout le problème. HIP Le profil est soumis toutes les heures par défaut, ce qui résoudra également automatiquement le problème après un certain temps.
• Au moment de l’émission « show user ip-user-mapping ip <globalprotect_client_IP> » affiche l’utilisateur « Inconnu »:

• Dans les journaux utilisateur-ID , nous voyons ce qui suit :

Selon ces logs, GP l’utilisateur: pantac\paloalto s’est GP connecté au 20/04 19:31. Juste après, un autre événement de connexion pour la même IP chose est appris via XMLAPI.Notez que la valeur du délai d’attente est passée de 10800 à 2700 s en raison d’un événement de XMLAPI connexion.

NOTE: XMLAPI a été utilisé à des fins de démonstration. Le problème est plus susceptible de se produire lorsque l’agent UserID basé sur Windows (ou l’agent intégré PanOS) est configuré et a la capacité de lire les journaux de session / de sécurité. Par exemple : si un utilisateur se connecte à GP une ressource interne telle qu’une imprimante qui génère un événement de sécurité sur le , l’agent UserID le lit et le ADtransfère à firewall. Cela écrasera le mappage utilisateurIP appris existantGP.

• Dans les journaux de trafic, nous voyons que « l’utilisateur source » est perdu et que le trafic a commencé à correspondre à une règle de refus. Cela peut ne pas être apparent dans l’environnement client car la journalisation de session est désactivée sur le refus policypar défaut. Dans ce cas, une lacune dans les journaux de trafic sera visible pour la source IPspécifique .

• Palo Alto (Palo Alto) Firewall
• GlobalProtect
• Utilisateur-ID

• Le problème s’est produit en raison du délai d’expiration de l’identification de l’utilisateur ; 2700 s (45 min) dans ce scénario. Il s’agit également du délai d’expiration par défaut défini dans les configurations de l’agentID utilisateur.
• GP HIP La soumission du profil a lieu toutes les heures et actualise le mappage de l’utilisateur, mais comme le mappage firewall de l’utilisateurIP a été écrasé par XMLAPI,IP le délai d’expiration a été réinitialisé à 45 minutes. Après 45 minutes, le mappage a été effacé et comme le profil suivant HIP n’a pas encore été soumis, l’utilisateur n’atteindra pas la GP sécurité policyattendue .

• Augmentez le délai d’expiration de l’identification de l’utilisateur à au moins 1 heure afin de garantir que l’agent sera en mesure d’envoyer HIP le profil avant firewall de supprimer le GP cache.
• Remarque : Le délai d’expiration de l’identification de l’utilisateur est sujet à des réglages précis.Dans un environnement de bureau assez statique, il pourrait être prudent d’avoir ce délai d’attente défini sur 600+ minutes, car la durée de vie par défaut du ticket utilisateur kerberos est de 10 heures. Dans un environnement très dynamique avec de nombreux utilisateurs partage des postes de travail, il peut être plus avantageux définir le délai d’expiration d’un délai plus court.

• Comment augmenter sur l’agent d’ID utilisateur basé sur Windows: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZzCAK