Les mappages utilisateur sont cartographiés à la mauvaise sécurité lors Policy de l’utilisation de plusieurs attributs

Les mappages utilisateur sont cartographiés à la mauvaise sécurité lors Policy de l’utilisation de plusieurs attributs

11790
Created On 10/29/20 15:05 PM - Last Modified 03/26/21 18:45 PM


Symptom


Le client peut se trouver dans un scénario où les utilisateurs sont cartographiés à une mauvaise sécurité Policy s’ils ont plusieurs comptes. Par exemple, les utilisateurs peuvent avoir un compte Standard et un compte Admin. De plus, les utilisateurs standard sont appariés à la sécurité Policy pour les utilisateurs admin en raison de l’attribut unique qu’ils partagent. 

PAN-OS supportez plusieurs formats de noms d’utilisateur. Ceci est configuré via des attributs utilisateur-id. Plus d’infos ici. Si vous avez plusieurs comptes pour le même utilisateur, par exemple, les comptes Standard et Admin :
FW(active)> show user ip-user-mapping all | match 066n
10.161.132.51    vsys2 UIA    adm\a-066n         1150          1150
10.110.65.44     vsys2 UIA    std\066n           7054          705

Et l’utilisateur standard std\066n sont la cartographie d’une sécurité pour Policy les utilisateurs admin, cela peut être en raison de l’attribut unique qu’ils ont. Par exemple, la sortie ci-dessous affiche le compte Admin ayant la même adresse e-mail que le compte standard, et donc l’utilisateur std\066n est jumelé avec une sécurité Policy pour les administrateurs. Vous pouvez voir que l’adm\a-066n est montré comme primaire pour std\066n.
 
FW(active)> show user user-attributes user std\066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

FW(active)> show user user-attributes user adm\a-066n

Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n

Environment


  • PAN-OS 8,1 et plus.
  • Pare-feu de Palo Alto.
  • Utilisateur ID configuré
  • Utilisateurs avec plusieurs comptes avec e-mail commun ou d’autres attributs.


 

Cause


Si un attribut utilisateur-id est unique, l’utilisateur correspondra à une mauvaise sécurité policy s’il a plusieurs comptes. Par exemple, l’utilisateur peut avoir une norme et un compte admin. SAMAccountName peut être différent. Ils peuvent exister en tant que deux utilisateurs différents.

Resolution


Cela est prévu en raison de l’attribut de messagerie unique.
En tant que solution de contournement, on peut ignorer l’attribut commun entre les deux utilisateurs en ajoutant une valeur factice ou modifier l’attribut dans le répertoire actif pour l’un des utilisateurs.
Par exemple, dans le scénario ci-dessus, l’attribut de messagerie est configuré avec « mail1 ». L’ajout d’une valeur factice pour un attribut empêchera la récupération des valeurs. 

Image ajoutée par l'utilisateur

Nom d’utilisateur principal = sAMAccountName
E- mail = left blank or 'mail1' Alternate
Username 1 = userPrincipalName
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOtCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language