Comment faire pour configurer les paramètres de mappage de groupe

Aperçu

Les réseaux De Palo Alto firewall peuvent récupérer des informations de cartographie d’utilisateur à groupe à partir d’un LDAP serveur, tel que, Active Directory ou eDirectory. Les données peuvent être récupérées via des requêtes du (via LDAP User-less Utilisateur-) ou par un User-IDID Agent configuré pour proxy les firewall LDAP requêtes.firewall Ce document décrit comment configurer le mappage de groupe sur un réseau Palo Alto firewall.

Étapes

1. Configurer le profil de serveur : Comment configurer LDAP le profil de serveur LDAP
2. Configurer la façon dont les groupes et les utilisateurs sont récupérés à partir LDAP de l’annuaire en créant une nouvelle entrée de cartographie de groupe en naviguant vers l’onglet Paramètres de cartographie de groupe de l’identification utilisateur de l'> de l’appareil > et cliquez sur « Ajouter ». Voir capture d’écran ci-dessous.
   
3. Entrez un nom. Pour Palo Alto Networks qui prennent en charge plusieurs systèmes virtuels, une liste déroulante (emplacement) sera disponible pour choisir de.
4. LDAPSpécifiez le profil du serveur (configuré à l’étape 1) dans la liste de drop-down sous l’onglet Profil serveur.
   Note: Tous les attributs et objectclasses seront peuplés en fonction du type de serveur d’annuaire que vous avez sélectionné dans le « LDAP profil serveur ».
5. L’intervalle de mise à jour pour les groupes d’utilisateurs des changements est 3600 secondes (1 heure). Entrez une valeur pour spécifier un intervalle personnalisé.
6. Allez dans l’onglet Liste de groupe comprennent. Laissez la liste incluse vierge si vous souhaitez inclure des ALL groupes ou sélectionnez les groupes à inclure dans la colonne de gauche qui doit être cartographiée.

CLI commandes pour vérifier les groupes récupérés et la connexion au LDAP serveur :

> Afficher l’état de mise en correspondance des groupe utilisateur tous les

> Voir la liste de groupe d’utilisateurs

&gt; Afficher le nom de groupe d’utilisateur<group name=""></group>

Remarque : Lorsque plusieurs mappages de groupe sont configurés avec le même serveur de base dn ou ldap, chaque mappage de groupe doit inclure des groupes qui ne se chevauchent pas, c’est-à-dire qu’ils incluent la liste des groupes qui ne doivent pas avoir de groupe commun.