Benutzerzuordnungen werden der falschen Sicherheit Policy zugeordnet, wenn mehrere Attribute verwendet werden.

Benutzerzuordnungen werden der falschen Sicherheit Policy zugeordnet, wenn mehrere Attribute verwendet werden.

11808
Created On 10/29/20 15:05 PM - Last Modified 03/26/21 18:45 PM


Symptom


Der Kunde kann in ein Szenario geraten, in dem die Benutzer einer falschen Sicherheit zugeordnet Policy werden, wenn sie über mehrere Konten verfügen. Benutzer können beispielsweise über ein Standard- und ein Admin-Konto verfügen. Und die Standardbenutzer werden Policy aufgrund des eindeutigen Attributs, das sie gemeinsam verwenden, mit Security for Admin-Benutzern abgeglichen. 

PAN-OS Unterstützung mehrerer Benutzernamenformate. Dies wird über User-ID-Attribute konfiguriert. Mehr Infos hier. Wenn Sie mehrere Konten für denselben Benutzer haben, z. B. Standard- und Admin-Konten:
FW(active)> show user ip-user-mapping all | match 066n
10.161.132.51    vsys2 UIA    adm\a-066n         1150          1150
10.110.65.44     vsys2 UIA    std\066n           7054          705

Und der Standardbenutzer std-066n wird einem Security Policy for Admin-Benutzer zugeordnet, dies kann an dem eindeutigen Attribut liegen, das sie haben. Die folgende Ausgabe zeigt z. B. das Admin-Konto mit der gleichen E-Mail-Adresse wie das Standardkonto, und dadurch wird der Benutzer std-066n mit einer Sicherheit Policy für Administratoren abgeglichen. Sie können sehen, dass die adm-a-066n als Primäre für std-066n
angezeigt wird. 
FW(active)> show user user-attributes user std\066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

FW(active)> show user user-attributes user adm\a-066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

Environment


  • PAN-OS 8.1 und höher.
  • Palo Alto Firewalls.
  • Benutzer ID konfiguriert
  • Benutzer mit mehreren Konten mit häufigen E-Mails oder anderen Attributen.


 

Cause


Wenn ein User-ID-Attribut eindeutig ist, wird der Benutzer mit einer falschen Sicherheit policy übereinstimmen, wenn er über mehrere Konten verfügt. Beispielsweise kann der Benutzer über ein Standard- und ein Administratorkonto verfügen. SAMAccountName kann unterschiedlich sein. Sie können als zwei verschiedene Benutzer existieren.

Resolution


Dies wird aufgrund des eindeutigen E-Mail-Attributs erwartet.
Als Problemumgehung kann das gemeinsame Attribut zwischen den beiden Benutzern ignoriert werden, indem ein Dummywert hinzugefügt oder das Attribut im Active Directory für einen der Benutzer geändert wird.
Im obigen Szenario wird das Mail-Attribut beispielsweise mit "mail1" konfiguriert. Durch das Hinzufügen eines Dummy-Werts für ein Attribut wird das Abrufen der Werte verhindert. 

Benutzeriertes Bild

Primärer Benutzername = sAMAccountName
E- mail = links leer oder 'mail1'
Alternativer Benutzername 1 = userPrincipalName
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOtCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language