用户间歇性无法访问某些资源 GlobalProtect

• 访问资源时出现间歇性问题GP.允许通过用户访问此资源 -ID基于安全规则。
• GlobalProtect 用于用户-IP映射学习。 其他用户-ID source/s 也被配置为 User-IP映射；例如：基于 Windows 的 userID 代理，XMLAPI ETC。
• 从安全规则中删除用户/用户组时，不会出现该问题。
• 重新提交HIP配置文件解决了这个问题。 HIP 配置文件默认每小时提交一次，一段时间后也会自动解决问题。
• 在发出“show user ip-user-mapping ip <globalprotect_client_IP>”时显示“未知”用户：

• 在用户-ID日志，我们看到以下内容：

根据这些日志，GP用户： pantac\paloalto登入GP在04/20 19:31 . 紧接着另一个登录事件IP通过学习XMLAPI.请注意超时值从 10800 秒更改为 2700 秒，原因是XMLAPI登录事件。

NOTE:XMLAPI已用于演示目的。 当基于 Windows 的 UserID 代理（或 PanOS 集成代理）配置为能够读取会话/安全日志时，问题更有可能发生。 例如：如果用户登录GP然后访问内部资源，例如打印机，它会在计算机上生成安全事件AD, UserID 代理将读取它并转发给firewall. 这将覆盖现有的GP博学的用户-IP映射。

• 在流量日志中，我们看到“源用户”丢失并且流量开始匹配拒绝规则。 这在客户环境中可能不明显，因为会话日志记录在默认拒绝时被禁用policy. 在这种情况下，特定来源的流量日志中会出现间隙IP.

• 帕洛阿尔托 Firewall
• GlobalProtect
• 用户-ID

• 出现该问题是因为用户识别超时；在此场景中为 2700 秒（45 分钟）。 这也是 User- 中设置的默认超时ID代理设置。
• GP HIP 配置文件提交每小时发生一次并刷新用户-IP映射到firewall但是因为用户-IP映射被覆盖XMLAPI，超时重置为 45 分钟。 45 分钟后，映射被清除，从下一个开始HIP配置文件尚未提交，GP用户不会达到预期的安全性policy.

• 将用户识别超时增加到至少 1 小时，以保证GP代理人将能够提交HIP个人资料之前firewall删除缓存。
• 注意：用户识别超时需要微调。在相当静态的办公环境中，将此超时设置为 600 分钟以上可能是安全的，因为默认的 kerberos 用户票证生命周期为 10 小时。 在许多用户共享工作站的非常动态的环境中，将超时设置为较短的时间可能更有益。

• 如何在基于 windows 的 userID 代理上增加： https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZzCAK