Policy複数の属性を使用する場合、ユーザー マッピングが誤ったセキュリティにマップされる
11802
Created On 10/29/20 15:05 PM - Last Modified 03/26/21 18:45 PM
Symptom
顧客は、 Policy 複数のアカウントを持つユーザーが間違ったセキュリティにマップされるシナリオに実行できます。 たとえば、ユーザーは標準アカウントと管理者アカウントを持つことができます。 また、標準ユーザーは Policy 、共有する固有の属性により、管理者ユーザーのセキュリティと照合されます。
PAN-OS 複数のユーザー名形式をサポートします。 これは、ユーザー ID 属性を使用して構成されます。 詳細 はこちら. 同じユーザーに対して複数のアカウントがある場合(たとえば、標準アカウントと管理者アカウント)。
FW(active)> show user ip-user-mapping all | match 066n
10.161.132.51 vsys2 UIA adm\a-066n 1150 1150
10.110.65.44 vsys2 UIA std\066n 7054 705標準ユーザー std\066n は Policy 、管理者ユーザーのセキュリティにマッピングされていますが、これは、そのユーザーが持つ一意の属性が原因である可能性があります。 たとえば、次の出力は、標準アカウントと同じ電子メール アドレスを持つ管理者アカウントを示し、それによってユーザー std\066n は Policy 管理者向けセキュリティと照合されます。 adm\a-066nがstd\066n
のプライマリとして表示されていることがわかります。
FW(active)> show user user-attributes user std\066n
Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n
FW(active)> show user user-attributes user adm\a-066n
Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066nEnvironment
- PAN-OS 8.1以上。
- パロアルトファイアウォール。
- ユーザー ID 構成済み
- 共通の電子メールやその他の属性を持つ複数のアカウントを持つユーザー。
Cause
user-id 属性が一意の場合、ユーザーが複数のアカウントを持っている場合、ユーザーは間違ったセキュリティに一致 policy します。 たとえば、ユーザーは標準アカウントと管理者アカウントを持つことができます。 アカウント名は異なる場合があります。 これらは、2 つの異なるユーザーとして存在できます。
Resolution
これは、一意のメール属性が原因で予期されます。
回避策として、ダミー値を追加して 2 人のユーザー間の共通属性を無視するか、いずれかのユーザーの Active Directory で属性を変更することができます。
たとえば、上記のシナリオでは、mail 属性は "mail1" で構成されています。 属性にダミー値を追加すると、値の取得ができなくなります。
プライマリ ユーザー名 = sAMAccountName
E- メール = 空白または 'mail1'
代替ユーザー名 1 = ユーザー プリンシパル名