HIPレポートが欠落しているため、GP ユーザーのDNSトラフィックがブロックされています
2438
Created On 07/26/24 17:13 PM - Last Modified 02/10/25 20:30 PM
Symptom
- 顧客は管理者ユーザー用に複数のユーザー名を設定しています
- セキュリティポリシーでは、両方のユーザー名ではなく、単一のユーザー名のみが許可されます。
- ユーザートラフィックがデフォルトのイントラゾーンポリシーにヒットし、トラフィックが拒否される
Environment
- パノス-10.2-6
- Palo Alto Networksファイアウォール
- GP-6.2.0
Cause
- 原因は、同じホストから異なるユーザー名が検出された場合に、ファイアウォールのHIPレポートをクリアするためです。これは、権限のないユーザーが機密リソースにアクセス管理を防ぐための想定された動作です。
Resolution
- この問題を回避するには、顧客は次のいずれかを行う必要があります。
- 既存のユーザーエントリの下のDCで両方のユーザー名を設定し、属性を使用してファイアウォールにマップします。
注意: このオプションを選択した場合は、メンテナンス ウィンドウ中に次のコマンドを使用して idmgr テーブルをリセットする必要があります [ debug device-server reset id-manager type all]
- 管理者のセカンダリユーザー名専用の新しいグループを作成し、このグループをファイアウォールにマップし、このグループを既存のセキュリティポリシーに追加します。
- 以下に、両方を完了する方法を詳しく説明した追加のドキュメントを記載しました: https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/user-id/map-users-to-groups