如何配置组映射设置

概述

帕洛阿尔托网络firewall可以从一个检索用户到组的映射信息LDAP服务器，例如 Active Directory 或 eDirectory。 可以通过检索数据LDAP来自的查询firewall（通过无代理用户-ID ) 或由用户-ID配置为代理的代理程序firewallLDAP查询。 本文档介绍如何在帕洛阿尔托网络上配置组映射firewall.

脚步

1. 配置LDAP服务器配置文件：如何配置LDAP服务器配置文件
2. 配置如何从LDAP通过导航到“设备”>“用户标识”>“组映射设置”选项卡并单击“添加”来创建新的组映射条目来创建目录。 请参阅下面的屏幕截图。
   
3. 输入名称。 对于支持多个虚拟系统的帕洛阿尔托网络，下拉列表（位置）将可供选择。
4. 指定LDAP服务器配置文件（在步骤 1 中配置）在服务器配置文件选项卡下的下拉列表中。
   笔记：所有属性和对象类都将根据您在“LDAP服务器配置文件”。
5. 用户组更改的默认更新间隔为 3600 秒（1 小时）。 输入一个值以指定自定义间隔。
6. 转到组包含列表选项卡。 如果要包含，请将包含列表留空ALL组，或从应该映射的左列中选择要包含的组。

CLI 命令检查检索到的组和连接到LDAP服务器：

>> 显示用户组映射状态所有

> 显示用户组列表

> 显示用户组名<组名>

注意：当多个组映射配置有相同的基本 dn 或 ldap 服务器时，每个组映射必须包括非重叠组，即包括组列表不能有任何公共组。