Der Benutzerdatenverkehr auf einer Gruppe, die Informationen von CIE (firewallCloud Identity Engine) abruft, entspricht nicht der erwarteten gruppenbasierten Sicherheit policy

Der Benutzerdatenverkehr auf einer Gruppe, die Informationen von CIE (firewallCloud Identity Engine) abruft, entspricht nicht der erwarteten gruppenbasierten Sicherheit policy

3732
Created On 08/18/22 08:50 AM - Last Modified 05/31/25 03:23 AM


Symptom


  • Der Benutzerdatenverkehr, der zeitweise durch Firewalls geleitet wird, entspricht der unerwarteten gruppenbasierten Sicherheitsregel.
  • A Commit löst das Problem manchmal, manchmal aber auch nicht.

Environment


  • Firewall Arbeiten mit CIE (Cloud Identity Engine) zum Abrufen der Gruppeninformationen für die Sicherheitsregel
  • Schichten
  • Prisma Access
  •  

Cause


  • CIE Hört auf, die Informationen anderer Gruppen/Benutzer zu lesen, wenn Domänen/Gruppen, die in Panorama oder Firewalls konfiguriert sind, nicht in CIEgefunden werden.
Beispiel:
  • Konfigurieren Sie die Gruppen 'test-group' oder 'cn=test-group,ou=user groups,dc=test,dc=local' als Quellbenutzer in Sicherheitsregeln für Firewalls.
  • Versuchen Sie, diese Gruppen von CIEabzurufen.
  • Wenn CIE keine solchen Gruppen vorhanden sind, wird eine Synchronisierung mit CIEbeendet, und die firewall Gruppenmitglieder werden nicht abgerufen, was zu einer policy Nichtübereinstimmung führt.

 

Resolution


Überprüfen Sie die folgenden Konfigurationen an allen Speicherorten (Shared/Vsys) und allen Gerätegruppen/Vorlagen, und entfernen Sie die ungültigen Gruppen.

DEVICE Registerkarte:
+ Authentication Profile -> [Any Authentication Profiles] -> Advanced -> Allow List
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Base DN
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Bind DN
+ User Identification -> Group Mapping Settings -> [Any Group Mappings] -> Group Include List
+ Local User Data Base -> User Groups


NETWORK Registerkarte:
+ GlobalProtect -> Portals -> [Any Portals] -> Agent -> [Any CONFIGS] -> Config Selection Criteria -> User/User Group -> USER/USER GROUP
+ GlobalProtect -> Portals ->  [Any Portals]-> Clientless VPN -> Applications -> [Any CONFIGS] -> USER/USER GROUP
+ GlobalProtect -> Gateways ->  [Any Gateways] -> Client Settings -> [Any CONFIGS] -> Config - Selection Criteria -> SOURCE USER


POLICIES Registerkarte:
+ Authentication  -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Security -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ QoS -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Policy Based Forwarding -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Decryption -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ DoS Protection -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER

 

Additional Information


In Zukunft können wir weitere Standorte CIE hinzufügen, um Gruppeneinstellungen nachzuschlagen. Bitte überprüfen Sie die Konfiguration vollständig, um die ungültigen Gruppen zu finden und zu entfernen.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYmRCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language