DNS-Datenverkehr wird für GP-Benutzer aufgrund fehlender HIP Berichte blockiert

DNS-Datenverkehr wird für GP-Benutzer aufgrund fehlender HIP Berichte blockiert

2424
Created On 07/26/24 17:13 PM - Last Modified 02/10/25 20:30 PM


Symptom


  • Der Kunde hat mehrere Benutzernamen für seine verwaltungs- konfiguriert
  • Sie haben nur Sicherheitsrichtlinien, die einen einzigen Benutzername zulassen, statt beide
  • Der Benutzer trifft die Standard(-) Intrazone , was zu verweigertem Verkehr führt

Environment


  • PANOS-10.2-6
  • Jede Firewall von Palo Alto Networks
  • GP-6.2.0

Cause


  • Die Ursache liegt darin, dass wir den HIP-Bericht der Firewall löschen, wenn wir einen anderen Benutzername vom selben Host bemerken. Dies ist ein erwartetes Verhalten, um zu verhindern, dass ein nicht autorisierter Benutzer Zugriff auf vertrauliche Ressourcen beibehalten .

Resolution


  1. Um dieses Problem zu vermeiden, muss der Kunde entweder:
    1. Konfigurieren Sie die beiden Benutzernamen auf dem DC unter dem vorhandenen Benutzer und ordnen Sie sie mithilfe von Attributen der Firewall zu
Hinweis: Wenn Sie diese Option wählen, müssen Sie die idmgr-Tabelle während eines Wartungsfensters mit dem folgenden Befehl zurücksetzen [ debug device-server reset id-manager type all]
  1. Erstellen Sie eine neue Gruppe nur für den sekundären Benutzername des Administrators, ordnen Sie diese Gruppe der Firewall zu und fügen Sie diese Gruppe dann der vorhandenen Richtlinie hinzu.
  2. Ich habe unten zusätzliche Dokumentation beigefügt, in der detailliert erläutert wird, wie beides durchgeführt wird: https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/user-id/map-users-to-groups
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scbNCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language