Cómo configurar la configuración de asignación de grupo

Cómo configurar la configuración de asignación de grupo

216842
Created On 09/25/18 17:27 PM - Last Modified 01/18/23 20:51 PM


Environment


  • Palo Alto Firewall .
  • PAN-OS 8.1 o superior.
  • Mapeo de grupos.

Resolution


Visión general

Las redes de Palo Alto firewall pueden recuperar información de asignación de usuario a grupo de un LDAP servidor, como Active Directory o eDirectory. Los datos se pueden recuperar a través de consultas desde el (a través LDAP de un usuario sin agente)ID o por un firewall agente deID usuario que está configurado para proxy las firewall LDAP consultas. En este documento se describe cómo configurar la asignación de grupos en una red de Palo Alto firewall.

 

Pasos

  1. Configurar el perfil de servidor: Cómo configurar LDAP el perfil de LDAP servidor
  2. Configure cómo se recuperan los grupos y usuarios del directorio creando una nueva entrada de asignación de grupo navegando a la pestaña Configuración de asignación de > identificación de LDAP usuario > dispositivo y haga clic en 'Agregar'. Consulte captura de pantalla abajo.
    mapping de grupos. png
  3. Introduzca un nombre. Palo Alto Networks que apoyan múltiples sistema virtual, una lista desplegable (ubicación) podrán seleccionar desde.
  4. Especifique el perfil del LDAP servidor (configurado en el paso 1) en la lista desplegable en la pestaña Perfil del servidor.
    Nota: Todos los atributos y objectclasses se rellenarán en función del tipo de servidor de directorio que seleccionó en el LDAP "Perfil del servidor".
  5. El intervalo de actualización predeterminado de grupos de usuarios cambios es 3600 segundos (1 hora). Introduzca un valor para especificar un intervalo personalizado.
  6. Ir a la pestaña de grupo incluyen lista. Deje la lista de inclusión en blanco si desea incluir ALL grupos o seleccione los grupos que se incluirán en la columna izquierda que se debe asignar.

 

CLI comandos para comprobar los grupos recuperados y la conexión con el LDAP servidor:

> Mostrar estado de asignación de grupo de usuario todos

> Ver lista de grupo de usuario

&gt; Mostrar nombre de grupo de usuario<group name=""></group>

 

Nota: Cuando se configuran varias asignaciones de grupos con el mismo dn base o servidor ldap, cada asignación de grupo debe incluir grupos no superpuestos, es decir, incluir la lista de grupos no debe tener ningún grupo común.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFQCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language