使用多个属性时,将用户映射映射到错误的安全 Policy 性
11800
Created On 10/29/20 15:05 PM - Last Modified 03/26/21 18:45 PM
Symptom
如果用户拥有多个帐户,则客户可能会遇到将用户映射到错误安全性的情况 Policy 。 例如,用户可以具有"标准"和"管理员"帐户。 而且,标准用户 Policy 与管理员用户的安全性匹配,因为它们共享的独特属性。
PAN-OS 支持多个用户名格式。 这是通过用户 ID 属性配置的。 更多信息 在这里。 如果您为同一用户有多个帐户,例如,标准帐户和管理员帐户:
FW(active)> show user ip-user-mapping all | match 066n
10.161.132.51 vsys2 UIA adm\a-066n 1150 1150
10.110.65.44 vsys2 UIA std\066n 7054 705标准用户 std\066n 正在 Policy 映射到管理员用户的安全性,这可能是因为他们具有独特的属性。 例如,下面的输出显示 Admin 帐户具有与标准帐户相同的电子邮件地址,因此用户 std\066n 与管理员安全匹配 Policy 。 你可以看到,a-a-066n的外加显示为std\066n
的主。
FW(active)> show user user-attributes user std\066n
Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066n
FW(active)> show user user-attributes user adm\a-066n
Primary: adm\a-066n Email: 066n@mail.com
Alt User Names:
1) 066n@mail.com
2) std\066nEnvironment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托防火墙。
- 用户 ID 配置
- 具有公共电子邮件或其他属性的多个帐户的用户。
Cause
如果用户 ID 属性是独一无二的, policy 则如果用户拥有多个帐户,则会与错误的安全性匹配。 例如,用户可以有一个标准和管理员帐户。 SAMAccountName 可以不同。 它们可以作为两个不同的用户存在。
Resolution
这是预期的,因为独特的邮件属性。
作为一种解决方法,用户可以通过添加虚拟值或更改其中一个用户的活动目录中的属性来忽略两个用户之间的常见属性。
例如,在上述情景中,邮件属性配置为"邮件1"。 为属性添加虚拟值将阻止检索值。
主要用户名=sAM帐户名
E- 邮件=左空白或"邮件1"
备用用户名1=用户主名