Alles über ID User-Domain-Map
Environment
- PAN-OS 7.1 und höher.
- Palo Alto Firewall .
- IDBenutzerkonfiguration.
Resolution
Voraussetzungen
Sie sollten über Kenntnisse in den Kenntnissen verfügen:
Active
Directory-Benutzer-ID-Funktion in den Palo Alto-Netzwerken firewall
Verwendeten Komponenten
Die Informationen in diesem Dokument basieren auf dieser Software und hardware Denkversionen:
Palo Alto Networks VM firewall mit PANOS 7.1 Active Directory Services, die
auf einem Microsoft 2012 r2-Server ausgeführt werden und als Domänencontroller konfiguriert sind
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Lab-Umgebung erstellt.
Wenn Ihr Netzwerk live ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrund
Palo Alto Networks firewall verwendet die Domänenzuordnung, um den vollqualifizierten Active Directory-Domänennamen (fqdn) und die entsprechende Netbios-Domäne (Netbios-Name) zu speichern.
Es wird verwendet, um den Benutzernamen und die Gruppennamen in das entsprechende Netbios-Domainnamenformat zu reduzieren oder FQDN zu konvertieren.
Betrachten Sie zum Beispiel die Domain ' paloaltonetworks.com ' als FQDN, dann ist der entsprechende NetBIOS-Domain-Name ' paloaltonetworks '
In einer aktiven Verzeichnis Umgebung wird ein Benutzer, der ein Mitglied dieser Domäne ist, seinen Benutzernamen als paloaltonetworks\username.
Details
Werfen wir einen tieferen Blick darauf, wie die firewall ruftdie netbios Domain-Namen von Active Directory-Domänencontrollern, füllen Sie die Domain-Map und dann verwenden Sie es für die Konvertierung von fqdn in netbios Name.
Aus Gründen der Einfachheit und der Leichtigkeit der Illustration werden wir den Arbeitsablauf in drei Phasen durchbrechen.
- PHASE 1 Abrufen des netbios-Domänennamens
Firewall sendet die Anforderung für den Netbiosname-Domänennamen beim Senden der LDAP Partitionsabfrage während der LDAP Aktualisierung, füllt die Domänenzuordnung auf und schreibt diesen Eintrag in die Datei dnsnetbios.map
Abgerufen durch 389/636 LDAP Verbindung (nicht Global Catalog one es - 3268 oder 3269)
Alle Domänencontroller sollten diese Informationen
Position: LDAP :// CN =Partitionen, CN =Konfiguration, DC =<DomainName>,</DomainName>
DC= <local|com></local|com>
ADSI Bearbeiten: Herstellen einer Verbindung mit "Konfigurationen" ( ADSI - Active Directory Service Interfaces)
Hier ist die LDAP Partitionsabfrageantwort vom Active Directory-Domänencontroller an die firewall Anzeige der:
Ziel der Abfrage - CN=Partitionen, CN =Konfiguration, DC =test, DC =kunaldc, DC =com
FQDN- 'test.kunaldc.com'
Netbios-Domainname - 'test'
- PHASE 2 Speichern des netbios-Domänennamens
Die 'dnsnetbios.map' Datei, die die fqdn und ihren netbios Domain-Namen enthält, wird intern in der Linux-basierten Verzeichnisstruktur auf der firewall
Sie können die Domain-Map über die Befehlszeile der firewall verwendenden 'debug user-id dump domain-map' anzeigen.
Die Domain-Karte besteht weiterhin aus einem Geräte-Reload, auch wenn Sie das Gruppen-Mapping-Profil für eine jeweilige Domain gelöscht haben.
Zusammen mit diesem alle netbios Domain-Namen einmal auf der gelernt firewall weiterhin beibehalten, es sei denn, explizit über den cli-Befehl 'debug user-id clear domain-map' entfernt
- PHASE 3 Anwenden des Netbios-Domänennamens auf Benutzergruppen und Mitglieder dieser Gruppen
Das Ziel des Namens netbios ist es,
1. Konvertieren 'fqdn'username' Formate in netbios Domainname, d.h. 'netbios'username' Format
Z.B.: Benutzername-Test ist ein Mitglied der Active Directory-Domäne 'test.kunaldc.com'
Es ist fqdn Name Format ist 'test.kunaldc.com.testuser'
Sobald die firewall über den netbios Namen der Active Directory-Domäne erfährt, wird es alle fqdn Benutzernamen Format in netbios NamenFormate konvertieren
Daher wird das fqdn-Benutzernamenformat von 'test.kunaldc.com-testuser' in 'test-testuser' konvertiert.
2. Normalisieren Sie die Gruppen von vollständigem dn zu Kurznamenformat
In Ermangelung der Domänenzuordnungen werden alle AD Gruppen in ihrem vollständigen Domänennamenformat erkannt.
A Gruppe mit dem Namen sme_group deren vollständiges dn-Namensformat
'cn=sme_group, ou=tier2,ou=networking,ou=apac,ou=tac2,dc=test,dc=kunaldc.com,dc=com' ist, wird in 'test'sme_group'
konvertiert.
Simialrly, der Benutzer, der ein Mitglied von sme_group ist, und die Active Directory Domain ' Test.kunaldc.com ' wird auch von ' Test. kunaldc. com\testuser ' in ' test\testuser ' umgewandelt.
NOTE
1. wendet die Normalisierung auf die Benutzer an, PAN firewall die von IP-User-Zuordnungsmechanismen abgerufen wurden (mit Methoden wie - Userid Agent, agentless, syslog,xmlapi usw.) sowie auf die Benutzer, die von Active Directory-Domänencontrollern mit Hilfe von Active Directory-Domänencontrollern abgerufen wurden LDAP
2. Domänenzuordnung wird nicht zwischen der aktiven und passiven Firewall in einem Active-Passive-Setup synchronisiert HA Das passive Gerät muss irgendwann als
aktives Gerät in der dienen, HA um eine Verbindung zum Active Directory-Server herzustellen, um den Netbios-Domänennamen über die ldap-Partitionsabfrage abzurufen
Additional Information
Für verwandte Probleme mit Der Gruppenzuordnung in einer Multidomäne . Lesen Sie bitte den folgenden Artikel: Konfigurieren von ADDS
Gruppenzuordnung in einer Active AD DS Directory-Domänenstruktur mit mehreren Domänen ( )