El mapeo de usuario a IP obtenido de Panorama desaparece del cortafuegos

• Panorama está configurado como un agente de redistribución, mientras que el cortafuegos está configurar como un cliente de redistribución.
• Después de unas horas, las asignaciones de usuario a IP desaparecen del cortafuegos.
• Las asignaciones se pueden restaurar temporalmente reiniciando el proceso distribuido en el cortafuegos.
• Los siguientes mensajes aparecen al habilitar el registro de nivel de depuración en el distribuido en el cortafuegos.

> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing

• Cortafuegos de Palo Alto
• Versión PAN-OS 10.0 o superior
• Panorama como agente de redistribución de ID de usuario
• Firewall como cliente de redistribución de ID de usuario

• En la versión PAN-OS 10.0 y superiores, el código para redistribución se integró en un nuevo proceso llamado distributedd.
• Se estableció un relé entre useridd y distributedd , lo que permite a useridd reenviar nuevas asignaciones de usuario a IP a distributedd para su redistribución.
• Una configuración incorrecta en Panorama impidió que el relé entre useridd y distributedd funcionara correctamente, lo que provocó fallas intermitentes en la redistribución.

1. Inicie sesión en la GUI de Panorama
2. Vaya a Panorama > Configuración > Interfaces
3. Haga clic en la interfaz de administración
4. En Servicios de red , habilite la opción ID de usuario
5. Haga clic en OK y compilar los cambios.

Esta configuración garantiza la redistribución adecuada de las asignaciones de usuarios a IP desde Panorama a los firewalls, evitando que las asignaciones desaparezcan.