User-ID如何工作
PA的User-ID采用了很多种技术来识别用户身份:
- 用户认证的方法识别用户身份
GlobalProtect: 使用GlocalProtect客户端提供用户和主机信息给防火墙。支持Windows/OS X/iOS/Android。
Captive Portal: 在无法采用其他机制获取用户身份时,采用portal认证进行认证。 - XML API
通过User-ID XML API提供给第三方进行用户IP的映射。比如Aruba ClearPass,Mobility Controller。
- Syslog Listening
分析其他设备的用户认证产生的syslog,比如无线AC,802.1X,NAC等,可以支持用户自定义syslig,也支持预定义的:Pulse Policy Secure,Blue Coat proxy。
- Port Mapping
Citrix XenApp,微软Terminal Services环境下,多个用户使用一个IP地址,UserID Terminal Services Agent可以为每个用户分配一段端口。
- XFF Headers
客户端使用代理时,通过HTTP头中的X-Forwarded-For头识别被隐藏的IP地址。支持IPv4和IPv6。
- Server Monitoring
监听微软AD/Exchange,Novell eDirectory的认证事件,以识别用户和IP地址映射。
- Client Probing
探测windows客户端获取用户身份,目的是为了检测客户端是否变化了IP。采用WMI或者netBIOS技术探测客户端,其中WMI探测不安全,不推荐使用。
参考: https://www.paloaltonetworks.com/documentation/81/pan-os/pan-os/user-id