Le mappage utilisateur-IP appris à partir de Panorama disparaît du pare-feu

• Panorama est configuré comme agent de redistribution, tandis que le pare-feu est configurer comme client de redistribution.
• Après quelques heures, les mappages utilisateur-IP disparaissent du pare-feu.
• Les mappages peuvent être temporairement restaurés en redémarrant le processus distributord sur le pare-feu.
• Les messages suivants s'affichent lors de l'activation de la journalisation au niveau de débogage sur le distributeur sur le pare-feu.

> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing

• Pare-feu Palo Alto
• Version PAN-OS 10.0 ou supérieure
• Panorama comme agent de redistribution d'identifiants utilisateur
• Pare-feu en tant que client de redistribution d'ID utilisateur

• Dans la version PAN-OS 10.0 et supérieure, le code de redistribution a été intégré dans un nouveau processus appelé distributord.
• Un relais a été établi entre useridd et distributord , permettant à useridd de transférer de nouveaux mappages utilisateur-IP à distributord pour redistribution.
• Une configuration incorrecte sur Panorama a empêché le relais entre useridd et distributord de fonctionner correctement, entraînant des échecs intermittents dans la redistribution.

1. Connectez-vous à l'interface graphique de Panorama
2. Accédez à Panorama > Configuration > Interfaces
3. Cliquez sur l' interface de gestion
4. Sous Services réseau , activez l'option ID utilisateur
5. Cliquez sur OK et valider les modifications

Cette configuration garantit une redistribution appropriée des mappages utilisateur-IP de Panorama vers les pare-feu, empêchant ainsi la disparition des mappages.