所有关于用户-ID领域地图

所有关于用户-ID领域地图

118034
Created On 09/25/18 17:27 PM - Last Modified 05/23/23 09:45 AM


Environment


  • PAN-OS 7.1 及以上。
  • 帕洛阿尔托Firewall.
  • 用户-ID配置。

Resolution


先决条件

您应该具备以下工作知识:

活动目录
帕洛阿尔托网络上的用户 ID 功能 firewall

 

使用的组件

本文档中的信息基于这些软件和hardware版本:

帕洛阿尔托网络VM firewall跑步PANOS7.1
在 Microsoft 2012 r2 服务器上运行的 Active Directory 服务,配置为域控制器

 

本文档中的信息是根据特定实验室环境中的设备创建的。
如果您的网络是实时的,请确保您了解任何命令的潜在影响。


背景

帕洛阿尔托网络firewall使用域映射来存储完全限定的活动目录域名 (fqdn) 及其等效的 netbios 域(netbios 名称)。

它用于规范化或转换用户名和组名FQDN为其对应的netbios域名格式。


例如,将域“paloaltonetworks.com”视为 fqdn,则其等效的 netbios 域名为“paloaltonetworks”

 

在活动目录环境中,作为该域成员的用户的用户名将是 paloaltonetworks\username。

 

细节

让我们更深入地了解如何firewall从 Active Directory 域控制器检索 netbios 域名,填充域映射,然后将其用于将 fqdn 转换为 netbios 名称。

 

为了简单和便于说明,我们将把工作流程分为三个阶段。

 

 

  • PHASE 1 找回netbios域名

 

Firewall 发送时发送netbiosname域名请求LDAP分区查询期间LDAP刷新,填充它的域映射并将此条目写入dnsnetbios.map文件

 

通过 389/636 获取LDAP连接(不是全局目录的 - 3268 或 3269)


所有域控制器都应该有这个信息

 

地点:LDAP ://CN =分区,CN =配置,DC =<域名>,
DC =<本地|com>

ADSI 编辑:连接到“配置”(ADSI - 活动目录服务接口)

 
ADSI_Edit。JPG

 


这是LDAP从 Active Directory 域控制器到分区查询响应firewall显示:

查询目标 -CN =分区,CN =配置,DC =测试,DC =kunaldc,DC =com

FQDN- 'test.kunaldc.com'

Netbios 域名 - '测试'

 

LDAP_PCAP。JPG

 

 

  • PHASE 2 存放netbios域名

 

' dnsnetbios.map '包含 fqdn 及其 netbios 域名的文件内部存储在基于 linux 的目录结构中 firewall

 

您可以从命令行查看域映射firewall使用“调试用户 ID 转储域映射”

 

域图。JPG

 

即使您删除了相应域的组映射配置文件,域映射仍会保留设备重新加载

 

与此一起,任何 netbios 域名一旦在firewall继续存在,除非通过 cli 命令明确删除'调试用户 ID 清除域映射'

 

 

  • PHASE 3 将netbios域名应用于用户组和这些组的成员

 

netbios 名称的目的是

 

1.转换'域名\username' 格式为网络BIOS域名即'网络BIOS \用户名'格式

例如:用户名 test 是活动目录域“test.kunaldc.com”的成员
它的 fqdn 名称格式是 'test.kunaldc.com\testuser'

 

一旦firewall了解活动目录域的 netbios 名称,然后它将所有 fqdn 用户名格式转换为 netbios 名称格式

 show_user_userids。JPG

 

 

因此 fqdn 用户名格式为'test.kunaldc.com\testuser'转换为'测试\测试用户'

 
 

2. 从全归一化组DN简称格式

在没有域映射的情况下AD组以其完整域名格式被识别

 

A 名为 sme_group 的组,其完整的 dn 名称格式为
'cn=sme_group, ou=tier2,ou=networking,ou=apac,ou=tac2,dc=test,dc=kunaldc.com,dc=com'转换成'测试\ sme_group'

同样,作为 sme_group 成员和活动目录域“test.kunaldc.com”的用户也从“test.kunaldc.com\testuser”转换为“test\testuser”

 

简称组名。JPG

 

 

 

NOTE
 

1.PAN firewall对从 ip-user 映射机制(使用 userid agent、agentless、syslog、xmlapi 等方法)检索的用户以及使用 active Directory 域控制器检索的用户应用规范化LDAP

用户映射 2.JPG

 
 

2.在主动-被动模式中,域映射在主动防火墙和被动防火墙之间不同步HA设置
无源设备必须在某些时候充当有源设备HA为了连接到活动目录服务器以通过 ldap 分区查询获取 netbios 域名

Additional Information


对于多域中组映射的相关问题ADDS.请参考以下文章:
如何在多域 Active Directory 域服务中配置组映射(AD DS ) 森林
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFnCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language