Los prerrequisitos
Usted debe tener un conocimiento práctico de:
Función de id de usuario de Active Directory
en las redes de Palo Alto firewall
Componentes utilizados
La información en este documento se basa en estos software y hardware versiones:
Palo Alto Networks VM firewall que ejecutan servicios de Active Directory PANOS 7.1
que se ejecutan en el servidor Microsoft 2012 r2, configurado como controlador de dominio
La información en este documento fue creada de los dispositivos en un entorno de laboratorio específico.
Si su red está viva, aseegurese que usted entiende el impacto potencial de cualquier comando.
Fondo
Palo Alto Networks utiliza el mapa de dominio para almacenar el nombre de dominio de firewall Active Directory completo (fqdn) y su dominio netbios equivalente (nombre netbios).
Se utiliza para normalizar o convertir el nombre de usuario y los nombres de grupo de su formato de nombre de FQDN dominio netbios correspondiente.
Por ejemplo, tenga en cuenta el dominio ' paloaltonetworks.com ' como FQDN, entonces su nombre de dominio NetBIOS equivalente es ' paloaltonetworks '
En un entorno de Active Directory, un usuario que sea miembro de este dominio tendrá su nombre de usuario como paloaltonetworks\username.
Detalles
Echemos un vistazo más profundo a cómo firewall recupera el nombre de dominio netbios de los controladores de dominio de Active Directory, rellenemos el mapa de dominio y, a continuación, utilícenlo para la conversión de fqdn a nombre netbios.
En aras de la simplicidad y la facilidad de la ilustración vamos a romper el flujo de trabajo en tres fases.
- PHASE 1 Recuperación del nombre de dominio netbios
Firewall envía la solicitud para el nombre de dominio netbiosname mientras envía la consulta de partición durante la LDAP LDAP actualización, rellena su mapa de dominio y escribe esta entrada en el archivo dnsnetbios.map
Obtenido a través de la conexión 389/636 LDAP (no global catalog one's - 3268 o 3269)
Todos los controladores de dominio deben tener esta información
Ubicación: LDAP :// CN =Particiones, CN =Configuración, DC =<DomainName>,</DomainName>
DC= <local|com></local|com>
ADSI Editar: Conéctese a "Configuraciones" ( ADSI - Interfaces de servicio de Active Directory)

Aquí está la LDAP respuesta de consulta de partición del controlador de dominio de Active Directory a la que se firewall muestra:
Destino de la consulta - CN=Particiones, CN =Configuración, DC =prueba, DC =kunaldc, DC =com
FQDN- 'test.kunaldc.com'
Nombre de dominio de Netbios - 'prueba'

- PHASE 2 Almacenamiento del nombre de dominio netbios
El archivo 'dnsnetbios.map' que contiene el fqdn y su nombre de dominio netbios se almacena internamente en la estructura de directorios basada en Linux en el firewall
Puede ver el mapa de dominio desde la línea de comandos del firewall uso de 'debug user-id dump domain-map'

El mapa de dominio persiste una recarga de dispositivo, incluso cuando ha eliminado el perfil de asignación de grupo para un dominio respectivo
Junto con esto, cualquier nombre de dominio netbios una vez aprendido en el firewall continúa persistiendo a menos que se elimine explícitamente a través del comando cli 'debug user-id clear domain-map'
- PHASE 3 Aplique el nombre de dominio netbios a los grupos de usuarios y miembros de estos grupos
El objetivo del nombre netbios es
1. Convierta losformatos de'fqdn'nombre de usuario' al formato de nombre de dominio netbios, es decir, formato denetbios'nombre de usuario'
Por ejemplo: La prueba de nombre de usuario es un miembro del dominio de directorio activo 'test.kunaldc.com'
Su formato de nombre fqdn es 'test.kunaldc.com-testuser'
Una vez que el firewall entere sobre el nombre netbios del dominio de Active Directory, entonces convertirá todo el formato de nombre de usuario fqdn a formatos de nombre netbios

Por lo tanto, el formato de nombre de usuario fqdn de 'test.kunaldc.com-testuser' se convierte en 'test-testuser'
2. Normalizar los grupos de formato dn completo a nombre corto
En ausencia de los mapas de dominio, todos los AD grupos se reconocen en su formato de nombre de dominio completo
A grupo denominado sme_group cuyo formato completo de nombre dn es
'cn=sme_group, ou=tier2,ou=networking,ou=apac,ou=tac2,dc=test,dc=kunaldc.com,dc=com' se convierte en 'test\sme_group'
Simialrly, el usuario que es miembro de sme_group y el dominio de Active Directory ' test.kunaldc.com ' también se transforma de ' test. kunaldc. com\testuser ' a ' test\testuser '

NOTE
1. PAN firewall aplica la normalización en los usuarios recuperados de los mecanismos de asignación ip-user (utilizando métodos tales como - agente userid, sin agente, syslog, xmlapi, etc.), así como los usuarios recuperados de controladores de dominio de Active Directory utilizando LDAP

2. Mapa de dominio no se sincroniza entre los firewalls activos y pasivos en una configuración Activa-Pasiva HA El dispositivo pasivo debe servir en algún momento como un dispositivo activo en el para conectarse al servidor
de Active Directory para obtener el nombre de dominio HA netbios a través de la consulta de partición ldap