El Tráfico DNS está bloqueado para los usuarios de GP debido a la falta de informes HIP
2426
Created On 07/26/24 17:13 PM - Last Modified 02/10/25 20:30 PM
Symptom
- El cliente tiene varios nombres de usuario configurados para sus usuarios administrador
- Solo tienen políticas de seguridad que permiten un único nombre de usuario en lugar de ambos.
- El tráfico del usuario está afectando la política intrazona valor predeterminado , lo que genera tráfico denegado.
Environment
- Panorámica 10.2-6
- Cualquier cortafuegos de Palo Alto Networks
- GP-6.2.0
Cause
- La causa se debe a que borramos el Informe HIP en el cortafuegos cada vez que detectamos un nombre de usuario diferente del mismo host. Este es el comportamiento esperado para evitar que un usuario no autorizado mantener acceso a recursos confidenciales.
Resolution
- Para evitar este problema, el cliente deberá:
- Configure ambos nombres de usuario en el controlador de dominio bajo la entrada de usuario existente y asígnelos al cortafuegos mediante atributos
Nota: Si elige esta opción, debe restablecer la tabla idmgr durante una ventana de mantenimiento utilizando el siguiente comando [ debug device-server reset id-manager type all ]
- Cree un nuevo grupo solo para el nombre de usuario secundario de los administradores, asigne este grupo al cortafuegos y luego agregue este grupo a la política de seguridad existente
- He incluido documentación adicional que explica cómo completar ambos en detalle a continuación: https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/user-id/map-users-to-groups