Gruppe-Mapping-Einstellungen konfigurieren

Übersicht

Die Palo Alto-Netzwerke firewall können Zuordnungsinformationen von Benutzer zu Gruppe von einem LDAP Server abrufen, z. B. Active Directory oder eDirectory. Die Daten können durch Abfragen des firewall (über agentenlosen Benutzers)ID oder durch LDAP einen BenutzeragentenID abgerufen werden, der als Proxy für die firewall LDAP Abfragen konfiguriert ist. In diesem Dokument wird beschrieben, wie Sie die Gruppenzuordnung in einem Palo Alto-Netzwerk firewallkonfigurieren.

Schritte

1. Konfigurieren des Serverprofils: Konfigurieren des LDAP Serverprofils LDAP
2. Konfigurieren Sie, wie Gruppen und Benutzer aus dem Verzeichnis abgerufen werden, indem Sie LDAP einen neuen Gruppenzuordnungseintrag erstellen, indem Sie zur Registerkarte Geräte-> Benutzeridentifikation > Gruppenzuordnungseinstellungen navigieren und auf "Hinzufügen" klicken. Siehe Screenshot unten.
   
3. Geben Sie einen Namenein. Für Palo Alto Networks, die mehrere virtuelle System unterstützt, wird eine Dropdown-Liste (Standort) zur Auswahl zur Verfügung.
4. Geben Sie das LDAP Serverprofil (in Schritt 1 konfiguriert) in der Dropdownliste unter der Registerkarte Serverprofil an.
   Hinweis: Alle Attribute und ObjectClasses werden basierend auf dem Verzeichnisservertyp aufgefüllt, den Sie im LDAP "Serverprofil" ausgewählt haben.
5. Das Standard-Aktualisierungsintervall für Benutzergruppen Änderungen ist 3600 Sekunden (1 Stunde). Geben Sie einen Wert ein, um ein benutzerdefiniertes Intervall angeben.
6. Wechseln Sie zur Registerkarte Gruppenliste enthalten. Lassen Sie die Include-Liste leer, wenn Sie Gruppen einschließen ALL möchten, oder wählen Sie die Gruppen aus, die in der linken Spalte eingeschlossen werden sollen, die zugeordnet werden soll.

CLI Befehle, um die abgerufenen Gruppen und die Verbindung zum Server zu LDAP überprüfen:

> Benutzer-Gruppenzuordnung Zustand alle zeigen

> Gruppe Benutzerliste anzeigen

> Gruppe Benutzernamen anzeigen<group name=""></group>

Hinweis: Wenn mehrere Gruppenzuordnungen mit demselben Basis-dn- oder ldap-Server konfiguriert sind, muss jede Gruppenzuordnung nicht überlappende Gruppen enthalten, d. h. Gruppenliste einschließen darf keine gemeinsame Gruppe haben.