Le trafic utilisateur sur un firewall groupe récupérant des informations à partir de (Cloud Identity Engine) ne correspond pas à CIE la sécurité basée sur le groupe attendue policy

Le trafic utilisateur sur un firewall groupe récupérant des informations à partir de (Cloud Identity Engine) ne correspond pas à CIE la sécurité basée sur le groupe attendue policy

3752
Created On 08/18/22 08:50 AM - Last Modified 05/31/25 03:23 AM


Symptom


  • Le trafic utilisateur qui passe par les pare-feu par intermittence correspond à la règle de sécurité inattendue basée sur le groupe.
  • A La validation résout parfois le problème, mais parfois non.

Environment


  • Firewall utilisation de (Cloud Identity Engine) pour récupérer les informations de groupe à des fins de CIE sécurité
  • Strates
  • Prisma Access
  •  

Cause


  • CIE Arrête la lecture des informations des autres groupes/utilisateurs si des domaines/groupes configurés dans ou des pare-feu ne sont pas trouvés dans Panorama CIE.
Exemple:
  • Configurez les groupes 'test-group' ou 'cn=test-group,ou=user groups,dc=test,dc=local' comme utilisateur source dans les règles de sécurité sur les pare-feu.
  • Essayez de récupérer ces groupes à partir de CIE.
  • Si CIE ne dispose pas de tels groupes, il arrête une synchronisation avec CIEet le firewall ne récupère pas les membres du groupe, ce qui entraîne une policy incompatibilité.

 

Resolution


Vérifiez les configurations suivantes dans tous les emplacements (Shared/Vsys) et tous les groupes/modèles de périphériques, et supprimez les groupes non valides.

DEVICE onglet:
+ Authentication Profile -> [Any Authentication Profiles] -> Advanced -> Allow List
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Base DN
+ Server Profiles -> LDAP -> [Any LDAP Servers] -> Bind DN
+ User Identification -> Group Mapping Settings -> [Any Group Mappings] -> Group Include List
+ Local User Data Base -> User Groups


NETWORK onglet:
+ GlobalProtect -> Portals -> [Any Portals] -> Agent -> [Any CONFIGS] -> Config Selection Criteria -> User/User Group -> USER/USER GROUP
+ GlobalProtect -> Portals ->  [Any Portals]-> Clientless VPN -> Applications -> [Any CONFIGS] -> USER/USER GROUP
+ GlobalProtect -> Gateways ->  [Any Gateways] -> Client Settings -> [Any CONFIGS] -> Config - Selection Criteria -> SOURCE USER


POLICIES onglet:
+ Authentication  -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Security -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ QoS -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Policy Based Forwarding -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ Decryption -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER
+ DoS Protection -> Pre/Post Rules -> [Any rules] -> Source -> SOURCE USER

 

Additional Information


À l’avenir, nous pourrions ajouter d’autres emplacements pour CIE rechercher les paramètres de groupe. Veuillez vérifier entièrement la configuration pour trouver les groupes non valides et les supprimer.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYmRCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language