Le trafic DNS est bloqué pour les utilisateurs GP en raison de rapports HIP manquants
2428
Created On 07/26/24 17:13 PM - Last Modified 02/10/25 20:30 PM
Symptom
- Le client a plusieurs noms d'utilisateur configurés pour ses utilisateurs admin
- Ils n'ont que des politiques de sécurité autorisant un seul nom d'utilisateur plutôt que les deux
- Le trafic utilisateur atteint la politique, règle, mesures intra-zone par défaut , ce qui entraîne un refus de trafic
Environment
- PANOS-10.2-6
- N'importe quel pare-feu Palo Alto Networks
- GP-6.2.0
Cause
- La cause est due au fait que nous effaçons le rapport HIP sur le pare-feu chaque fois que nous remarquons un nom d'utilisateur différent sur le même hôte. Il s'agit d'un comportement attendu pour éviter de permettre à un utilisateur non autorisé de maintenir, garantir, poursuivre l'accès à des ressources sensibles.
Resolution
- Pour éviter ce problème, le client devra soit :
- Configurez les deux noms d'utilisateur sur le DC sous l'entrée utilisateur existante et mappez-les au pare-feu à l'aide d'attributs
Remarque : si vous choisissez cette option, vous devez réinitialiser la table idmgr pendant une fenêtre de maintenance à l'aide de la commande suivante [ debug device-server reset id-manager type all]
- Créez un nouveau groupe uniquement pour le nom d'utilisateur secondaire des administrateurs, mappez ce groupe au pare-feu, puis ajoutez ce groupe à la politique, règle, mesures de sécurité existante
- J'ai inclus une documentation supplémentaire expliquant comment effectuer les deux opérations en détail ci-dessous : https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/user-id/map-users-to-groups