請問各位前輩
我公司的網域等級是Win2008R2
網域名稱是AAA.COM,WIN2000前版網域名稱為BBB
目前在Palo Alto PA-820防火牆上遇到使用者識別發生問題
PA_OS:10.0.1
一、當我在流量日誌裡查看時會發現
同一個使用者,會有三種不同的顯示方式
分別為AAA.COM\user、AAA\user、BBB\user
導致我在建立規則時,針對BBB\user所建立的規則會不穩定。
這部份要如何修改?
二、如果在建立規則時,使用者來源選擇為ad上的群組。
當我在該ad群組上新增成員時,該成員不會立即套用規則,而是要等5~30分鐘以上
這部份要如何調整,縮短同步時間。
已邀請的邦友 {{ invite_list.length }}/5
1
“Device” -> “User Identification” -> “Group mapping settings”
建立兩個profile, 兩個profile入面的SERVER profile用一個LDAP
第一個profile的User Domain用AAA, 之後Custom Group再選取你要的OU GROUP
第二個profile的User Domain用BBB, 之後Custom Group再選取你要的OU GROUP
最後FIREWALL POLICY 應該只會有 AAA\OU GROUP 跟 BBB\OU GROUP 的 人/GROUP 可以選用
2
“Device” -> “User Identification” -> “User Mapping”
右上角齒輪 -> Client Probing 和 Cache 改成 3 分鐘 / 你想要的
謝謝,我試試
我在建立兩個profile, 兩個profile裡面的SERVER profile用一個LDAP
建立三個profile,
第一個profile的User Domain用AAA,
第二個profile的User Domain用AAA.COM,
第三個profile的User Domain用BBB,
但是在Group Include List裡面去選擇要新增的OU時,但新增過去的OU都是叫BBB\群組名群
這是為何?
所以你現在是所有三個profile的 OU都是叫BBB\群組 ?
對,我建了三個profile,使用了三個不同的User Domain。但在新增群組時,新增的OU全叫BBB\群組名稱。
公司只有一個網域。叫AAA.COM,BBB是該網域的相容WIN2000的名稱。
電腦開機登入時顯示的是,登入到BBB網域。
在做Group mapping時,只能新增BBB\OU。
但在新建規則時,如果手動輸入AAA.COM\User,抓的到User帳號,但抓不到OU群組。
我先放棄用使用者識別的功能了,剛剛在測試時又發現,有時會連使用者名稱都是空白的。導致無法套用到該有的規則上。
例如:
規則一、針對BBB\USER,做外網放行。不過濾URL
規則二、針對192.168.10.X網段,做外網放行,過濾URL
而BBB\USER位於192.168.10.X的網段,應該會優先套用規則一、
查看該USER IP的流量記錄,卻發現有套用到規則二的情況,原因是該條日誌上的使用者名稱是空白的。
不如你什麼都先別干, 把user traffic log screen cap 一下看看
我好好奇你userlog到底出現那三種你說的domain名稱
您好 我目前有遇到第二的問題跟類似,user1(可以對外連線)、user2(不可對外連線),user1登入網域後登出,緊接著user2登入,uesr2居然可以連線,而在PA上show user ip-user-mapping all
還是顯示該ip還是user1登入的狀態。
請問您現在這個問題已解決了嗎?
我想請教您~
iThome鐵人賽
看影片追技術