由于缺少HIP报告,GP 用户的DNS 流量被阻止
2468
Created On 07/26/24 17:13 PM - Last Modified 02/10/25 20:30 PM
Symptom
- 客户为其管理员用户配置了多个用户名
- 他们只有允许单个用户名而不是两个用户名的安全策略
- 用户流量触及默认区域内策略,导致流量被拒绝
Environment
- 帕诺斯-10.2-6
- 任何Palo Alto Networks防火墙
- GP-6.2.0
Cause
- 原因是,每当我们注意到同一主机上有不同的用户名时,我们都会清除防火墙上的HIP 报告。这是预期行为,以避免允许未经授权的用户维护敏感资源。
Resolution
- 为了避免此问题,客户需要采取以下任一措施:
- 在现有用户条目下的 DC 上配置两个用户名,并使用属性将它们映射到防火墙
注意:如果选择此选项,则必须在维护时段内使用以下命令重置 idmgr 表 [ debug device-server reset id-manager type all]
- 为管理员的辅助用户名名创建一个新组,将该组映射到防火墙,然后将该组添加到现有的安全策略中。
- 我在下面提供了其他文档,详细讨论了如何完成这两项操作:https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/user-id/map-users-to-groups