Alles über ID User-Domain-Map

Alles über ID User-Domain-Map

118006
Created On 09/25/18 17:27 PM - Last Modified 05/23/23 09:45 AM


Environment


  • PAN-OS 7.1 und höher.
  • Palo Alto Firewall .
  • IDBenutzerkonfiguration.

Resolution


Voraussetzungen

Sie sollten über Kenntnisse in den Kenntnissen verfügen:

  Active
Directory-Benutzer-ID-Funktion in den Palo Alto-Netzwerken firewall

 

Verwendeten Komponenten

Die Informationen in diesem Dokument basieren auf dieser Software und hardware Denkversionen:

Palo Alto Networks VM firewall mit PANOS 7.1 Active Directory Services, die
auf einem Microsoft 2012 r2-Server ausgeführt werden und als Domänencontroller konfiguriert sind

 

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Lab-Umgebung erstellt.
Wenn Ihr Netzwerk live ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

 
Hintergrund

Palo Alto Networks firewall verwendet die Domänenzuordnung, um den vollqualifizierten Active Directory-Domänennamen (fqdn) und die entsprechende Netbios-Domäne (Netbios-Name) zu speichern.

Es wird verwendet, um den Benutzernamen und die Gruppennamen in das entsprechende Netbios-Domainnamenformat zu reduzieren oder FQDN zu konvertieren.


Betrachten Sie zum Beispiel die Domain ' paloaltonetworks.com ' als FQDN, dann ist der entsprechende NetBIOS-Domain-Name ' paloaltonetworks '

 

In einer aktiven Verzeichnis Umgebung wird ein Benutzer, der ein Mitglied dieser Domäne ist, seinen Benutzernamen als paloaltonetworks\username.

 

Details

Werfen wir einen tieferen Blick darauf, wie die firewall ruftdie netbios Domain-Namen von Active Directory-Domänencontrollern, füllen Sie die Domain-Map und dann verwenden Sie es für die Konvertierung von fqdn in netbios Name.

 

Aus Gründen der Einfachheit und der Leichtigkeit der Illustration werden wir den Arbeitsablauf in drei Phasen durchbrechen.

 

 

  • PHASE 1 Abrufen des netbios-Domänennamens

 

Firewall sendet die Anforderung für den Netbiosname-Domänennamen beim Senden der LDAP Partitionsabfrage während der LDAP Aktualisierung, füllt die Domänenzuordnung auf und schreibt diesen Eintrag in die Datei dnsnetbios.map

 

Abgerufen durch 389/636 LDAP Verbindung (nicht Global Catalog one es - 3268 oder 3269)


Alle Domänencontroller sollten diese Informationen

 

Position: LDAP :// CN =Partitionen, CN =Konfiguration, DC =<DomainName>,</DomainName>
DC= <local|com></local|com>

ADSI Bearbeiten: Herstellen einer Verbindung mit "Konfigurationen" ( ADSI - Active Directory Service Interfaces)

 
ADSI_Edit.JPG

 

 
Hier ist die LDAP Partitionsabfrageantwort vom Active Directory-Domänencontroller an die firewall Anzeige der:
 

Ziel der Abfrage - CN=Partitionen, CN =Konfiguration, DC =test, DC =kunaldc, DC =com

FQDN- 'test.kunaldc.com'

Netbios-Domainname - 'test'

 

LDAP_PCAP.JPG

 

 

  • PHASE 2 Speichern des netbios-Domänennamens

 

Die 'dnsnetbios.map' Datei, die die fqdn und ihren netbios Domain-Namen enthält, wird intern in der Linux-basierten Verzeichnisstruktur auf der firewall

 

Sie können die Domain-Map über die Befehlszeile der firewall verwendenden 'debug user-id dump domain-map' anzeigen.

 

Domänenkarte.JPG

 

Die Domain-Karte besteht weiterhin aus einem Geräte-Reload, auch wenn Sie das Gruppen-Mapping-Profil für eine jeweilige Domain gelöscht haben.

 

Zusammen mit diesem alle netbios Domain-Namen einmal auf der gelernt firewall weiterhin beibehalten, es sei denn, explizit über den cli-Befehl 'debug user-id clear domain-map' entfernt

 

 

  • PHASE 3 Anwenden des Netbios-Domänennamens auf Benutzergruppen und Mitglieder dieser Gruppen

 

Das Ziel des Namens netbios ist es,

 

1. Konvertieren 'fqdn'username' Formate in netbios Domainname, d.h. 'netbios'username' Format
 

Z.B.: Benutzername-Test ist ein Mitglied der Active Directory-Domäne 'test.kunaldc.com'
Es ist fqdn Name Format ist 'test.kunaldc.com.testuser'

 

Sobald die firewall über den netbios Namen der Active Directory-Domäne erfährt, wird es alle fqdn Benutzernamen Format in netbios NamenFormate konvertieren

 show_user_userids.JPG

 

 

Daher wird das fqdn-Benutzernamenformat von 'test.kunaldc.com-testuser' in 'test-testuser' konvertiert.

 
 

2. Normalisieren Sie die Gruppen von vollständigem dn zu Kurznamenformat
 

In Ermangelung der Domänenzuordnungen werden alle AD Gruppen in ihrem vollständigen Domänennamenformat erkannt.

 

A Gruppe mit dem Namen sme_group deren vollständiges dn-Namensformat
'cn=sme_group, ou=tier2,ou=networking,ou=apac,ou=tac2,dc=test,dc=kunaldc.com,dc=com' ist, wird in 'test'sme_group'
konvertiert. 

Simialrly, der Benutzer, der ein Mitglied von sme_group ist, und die Active Directory Domain ' Test.kunaldc.com ' wird auch von ' Test. kunaldc. com\testuser ' in ' test\testuser ' umgewandelt.

 

short_group_name.JPG

 

 

 

NOTE
 

1. wendet die Normalisierung auf die Benutzer an, PAN firewall die von IP-User-Zuordnungsmechanismen abgerufen wurden (mit Methoden wie - Userid Agent, agentless, syslog,xmlapi usw.) sowie auf die Benutzer, die von Active Directory-Domänencontrollern mit Hilfe von Active Directory-Domänencontrollern abgerufen wurden  LDAP 
 

Benutzerzuordnung 2.JPG

 
 

2. Domänenzuordnung wird nicht zwischen der aktiven und passiven Firewall in einem Active-Passive-Setup synchronisiert HA Das passive Gerät muss irgendwann als
aktives Gerät in der dienen, HA um eine Verbindung zum Active Directory-Server herzustellen, um den Netbios-Domänennamen über die ldap-Partitionsabfrage abzurufen

Additional Information


Für verwandte Probleme mit Der Gruppenzuordnung in einer Multidomäne . Lesen Sie bitte den folgenden Artikel: Konfigurieren von ADDS
Gruppenzuordnung in einer Active AD DS Directory-Domänenstruktur mit mehreren Domänen ( )
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFnCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language