Las asignaciones de usuarios se asignan a la seguridad incorrecta Policy cuando se utilizan varios atributos

Las asignaciones de usuarios se asignan a la seguridad incorrecta Policy cuando se utilizan varios atributos

11788
Created On 10/29/20 15:05 PM - Last Modified 03/26/21 18:45 PM


Symptom


El cliente puede ejecutarse en un escenario en el que los usuarios se asignan a una seguridad incorrecta Policy si tienen varias cuentas. Por ejemplo, los usuarios pueden tener una cuenta estándar y una cuenta de administrador. Además, los usuarios estándar coinciden con los usuarios de Security Policy for Admin debido al atributo único que comparten. 

PAN-OS admitir múltiples formatos de nombre de usuario. Esto se configura a través de los atributos user-id. Más información aquí. Si tiene varias cuentas para el mismo usuario, por ejemplo, cuentas estándar y de administrador:
FW(active)> show user ip-user-mapping all | match 066n
10.161.132.51    vsys2 UIA    adm\a-066n         1150          1150
10.110.65.44     vsys2 UIA    std\066n           7054          705

Y el usuario estándar std\066n están asignando a un Security Policy for Admin usuarios, esto puede deberse al atributo único que tienen. Por ejemplo, la siguiente salida muestra que la cuenta de administrador tiene la misma dirección de correo electrónico que la cuenta estándar y, por lo tanto, el usuario std\066n coincide con una seguridad Policy para administradores. Puede ver que el adm\a-066n se muestra como principal para std\066n.
 
FW(active)> show user user-attributes user std\066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

FW(active)> show user user-attributes user adm\a-066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

Environment


  • PAN-OS 8.1 y superior.
  • Palo Alto Firewalls.
  • Usuario ID configurado
  • Usuarios con varias cuentas con correo electrónico común u otros atributos.


 

Cause


Si un atributo user-id es único, el usuario coincidirá con una seguridad incorrecta policy si tiene varias cuentas. Por ejemplo, el usuario puede tener una cuenta estándar y una cuenta de administrador. SAMAccountName puede ser diferente. Pueden existir como dos usuarios diferentes.

Resolution


Esto se espera debido al atributo de correo único.
Como solución alternativa, se puede omitir el atributo común entre los dos usuarios agregando un valor ficticio o cambiar el atributo en Active Directory para uno de los usuarios.
Por ejemplo, en el escenario anterior, el atributo mail se configura con "mail1". Agregar un valor ficticio para un atributo impedirá recuperar los valores. 

Imagen de usuario añadido

Nombre de usuario principal = correo sAMAccountName
E- = en blanco izquierdo o 'mail1' Nombre de usuario alternativo
1 = userPrincipalName
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOtCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language