ユーザーについてのすべて-IDドメイン マップ

前提条件

次の作業に関する知識が必要です。

アクティブ ディレクトリ
Palo Alto Networks のユーザー ID 機能 firewall

 

使用部品

このドキュメントの情報は、これらのソフトウェアおよびソフトウェアに基づいています。hardwareバージョン:

パロアルトネットワークスVM firewallランニングPANOS7.1
ドメイン コントローラーとして構成された Microsoft 2012 r2 サーバーで実行されている Active Directory サービス

 

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。
ネットワークが稼働している場合は、コマンドの潜在的な影響を理解していることを確認してください。

バックグラウンド

パロアルトネットワークスfirewallはドメイン マップを使用して、完全修飾 Active Directory ドメイン名 (fqdn) とそれに相当する netbios ドメイン (netbios 名) を格納します。

ユーザー名とグループ名を正規化または変換するために使用されますFQDN対応する netbios ドメイン名形式に変換します。

たとえば、ドメイン「paloaltonetworks.com」を fqdn と考えると、同等の netbios ドメイン名は「paloaltonetworks」になります。

 

Active Directory 環境では、このドメインのメンバーであるユーザーのユーザー名は paloaltonetworks\username になります。

 

詳細

その方法について詳しく見ていきましょう。firewall Active Directory ドメイン コントローラーから netbios ドメイン名を取得し、ドメイン マップに入力してから、それを使用して fqdn を netbios 名に変換します。

 

わかりやすく説明するために、ワークフローを 3 つのフェーズに分けます。

 

 

• PHASE 1 netbios ドメイン名の取得

 

Firewall を送信しながら、netbiosname ドメイン名の要求を送信します。LDAP中のパーティション クエリLDAPrefresh 、そのドメイン マップにデータを入力し、このエントリをdnsnetbios.mapファイル

 

389/636 で取得LDAP接続 (Global Catalog のものではない - 3268 または 3269)

すべてのドメイン コントローラにこの情報が必要です

 

位置：LDAP ://CN =パーティション、CN =構成、DC =<ドメイン名>,
DC =<ローカル|com>

ADSI 編集：「構成」に接続します（ADSI - Active Directory サービス インターフェイス)

 

 

これがLDAPActive Directory ドメイン コントローラからfirewallを表示:

クエリのターゲット -CN =パーティション、CN =構成、DC =テスト、DC =クナルド、DC =コム

FQDN- 「test.kunaldc.com」

Netbios ドメイン名 - 'テスト'

 

 

 

• PHASE 2 netbios ドメイン名の保存

 

の' dnsnetbios.map ' fqdn とその netbios ドメイン名を含むファイルは、Linux ベースのディレクトリ構造に内部的に保存されます。 firewall

 

のコマンド ラインからドメイン マップを表示できます。firewall 「debug user-id dump domain-map」を使用

 

 

ドメイン マップは、それぞれのドメインのグループ マッピング プロファイルを削除した場合でも、デバイスのリロードを保持します

 

これに加えて、一度学習した netbios ドメイン名firewallcli コマンドで明示的に削除しない限り、存続し続けます「デバッグ ユーザー ID クリア ドメイン マップ」

 

 

• PHASE 3 netbios ドメイン名をユーザー グループとこれらのグループのメンバーに適用します。

 

netbios 名の目的は、

 

1.変換 ' fqdn \username' フォーマットネットバイオスドメイン名すなわち 'ネットバイオス\username' フォーマット

例: ユーザー名 test は、アクティブ ディレクトリ ドメイン「test.kunaldc.com」のメンバーです。
fqdn 名の形式は「test.kunaldc.com\testuser」です。

 

一度firewallActive Directory ドメインの netbios 名について学習し、すべての fqdn ユーザー名形式を netbios 名形式に変換します

 

 

 

したがって、fqdn ユーザー名形式は「test.kunaldc.com\testuser」に変換されます「テスト\テストユーザー」

 
 

2.グループをフルから正規化するdn短縮名形式へ

ドメインが存在しない場合、すべてがマップされますADグループは完全なドメイン名形式で認識されます

 

A 完全な dn 名の形式が sme_group という名前のグループ
「cn=sme_group、ou=tier2、ou=ネットワーキング、ou=apac、ou=tac2、dc=test、dc=kunaldc.com、dc=com」に変換されます'test\sme_group'

同様に、sme_group と Active Directory ドメイン「test.kunaldc.com」のメンバーであるユーザーも、「test.kunaldc.com\testuser」から「test\testuser」に変換されます。

 

 

 

 

NOTE
 

1.PAN firewall ip-user マッピング メカニズムから取得したユーザー (ユーザー ID エージェント、エージェントレス、syslog、xmlapi などの方法を使用)、および Active Directory ドメイン コントローラーから取得したユーザーに正規化を適用します。LDAP

 
 

2.アクティブ-パッシブ ファイアウォールのアクティブ ファイアウォールとパッシブ ファイアウォールの間でドメイン マップが同期されないHA設定
パッシブ デバイスは、ある時点でアクティブ デバイスとして機能する必要があります。HA Active Directory サーバーに接続して、ldap パーティション クエリを介して netbios ドメイン名を取得するため