El tráfico de usuarios en un firewall grupo de recuperación de información ( CIE Cloud Identity Engine) no coincide con la seguridad basada en grupos esperada policy

El tráfico de usuarios en un firewall grupo de recuperación de información ( CIE Cloud Identity Engine) no coincide con la seguridad basada en grupos esperada policy

3754
Created On 08/18/22 08:50 AM - Last Modified 05/31/25 03:23 AM


Symptom


  • El tráfico de usuarios pasa a través de firewalls de forma intermitente coincide con la inesperada regla de seguridad basada en grupos.
  • A Commit a veces resuelve el problema, pero a veces no.

Environment


  • Firewall trabajar con CIE (Cloud Identity Engine) para obtener la información del grupo para la regla de seguridad
  • Estratos
  • Prisma Access
  •  

Cause


  • CIE Detiene la lectura de la información de otros grupos/usuarios si no se encuentran dominios o grupos configurados en o firewalls en Panorama CIE.
Ejemplo:
  • Configure los grupos 'test-group' o 'cn=test-group,ou=user groups,dc=test,dc=local' como usuario de origen en las reglas de seguridad de los firewalls.
  • Intente recuperar estos grupos de CIE.
  • Si CIE no tiene tales grupos, detiene una sincronización con CIE, y no recupera firewall los miembros del grupo, lo que provoca una policy discrepancia.

 

Resolution


Compruebe las siguientes configuraciones en todas las ubicaciones (Compartido/Vsys) y todos los grupos/plantillas de dispositivos, y elimine los grupos no válidos.

DEVICE pestaña:
+ Authentication Profile -> [Any Authentication Profiles] -> Advanced -> Allow List
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Base DN
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Bind DN
+ User Identification -> Group Mapping Settings -> [Any Group Mappings] -> Group Include List
+ Local User Data Base -> User Groups


NETWORK pestaña:
+ GlobalProtect -> Portals -> [Any Portals] -> Agent -> [Any CONFIGS] -> Config Selection Criteria -> User/User Group -> USER/USER GROUP
+ GlobalProtect -> Portals ->  [Any Portals]-> Clientless VPN -> Applications -> [Any CONFIGS] -> USER/USER GROUP
+ GlobalProtect -> Gateways ->  [Any Gateways] -> Client Settings -> [Any CONFIGS] -> Config - Selection Criteria -> SOURCE USER


POLICIES pestaña:
+ Authentication  -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Security -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ QoS -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Policy Based Forwarding -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Decryption -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ DoS Protection -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER

 

Additional Information


En el futuro, es posible que agreguemos más ubicaciones para CIE buscar la configuración del grupo. Por favor, compruebe la configuración por completo para encontrar los grupos no válidos y eliminarlos.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYmRCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language