Wie man Gruppen-Mapping in einem Multi-Domain-Active-Verzeichnis-Domain-Dienste (AD DS)-Wald konfiguriert

Bis zu PAN-OS 6.1, für spätere Betriebssystemversionen, siehe diesen Artikel

Übersicht

Dieses Dokument beschreibt, wie man die Gruppen-Mapping richtig konfiguriert, um Ungereimtheiten im Benutzernamen-Format für Cross-Domain-Benutzer in einem Multi-Domain-Active-Verzeichnis-Domain-Dienste (AD DS) Forest zu vermeiden. Wenn Sie alle Objekte (Benutzer oder Gruppen) aus einer anderen Domäne in der Gesamtstruktur abrufen, verwenden Sie ad server, der als globaler Katalog definiert ist, in der Gruppenzuordnung. Der globale Katalog ist ein verteiltes Datenarchiv, das eine durchsuchbare, partielle Darstellung jedes Objekts in jedem Bereich der Mitglieder des Waldes enthält.

Wichtig! Wenn nicht ordnungsgemäß konfiguriert, kann es Probleme geben, bei denen einige Benutzer in der Gruppenzuordnung als fqdn-domain-name/username (dummy.example.com/username) anstelle von netbios/domain-name (dummydomain/username) formatiert werden, was zu Inkonsistenzen mit ip-user-mapping führt, die vom Benutzer-ID-Agenten oder vom dienstohne Benutzer-ID-Agent abgerufen werden.

Schritte

1. Der als globale Katalog Rolle konfigurierte ANZEIGENserver (in der Regel die Root-Domäne) muss unter LDAP-Server-Profilen konfiguriert werden. Verbinden Sie sich mit diesem Server auf Port 3268 (oder 3269 für SSL).
   
2. Konfigurieren Sie wie üblich das Feld Domäne so, dass PAN-OS den Domänennamen ersetzt. Lassen Sie es sonst leer.
   Hinweis: Beachten Sie, dass dies im globalen Katalog den Domänennamen für ALLE Benutzer und Gruppen ersetzt, die von diesem Server abgerufen wurden, einschließlich der Benutzer aus anderen Domänen (Mitglieder der Gesamtstruktur). Fügen Sie nur einen Domain-Namen in dieses Feld ein, wenn die leer Haltung Probleme verursacht. Wenn die Domäne z. B. "acme.local" lautet, aber "acme" benötigt wird, geben Sie "acme" in das Feld "Domäne " ein.
    
3. Verwenden Sie dieses Profil, um die Gruppenzuordnung (und bei Bedarf konfigurierte Included-Liste) zu konfigurieren.
    
4. Wenn der Domain-Name nicht manuell in Schritt 2 konfiguriert wurde, ist es zwingend erforderlich, ein zusätzliches Gruppen-Mapping mit einem anderen LDAP-Server-Profil zu konfigurieren und den gleichen ANZEIGENserver auf dem regulären Port 389 (oder 636 für SSL) zu Abfragen. Dieser Vorgang ist zwingend erforderlich, um domain-map korrekt auszufüllen, die zum Normalisieren des Benutzerformats als netbios_domain_name/username
   
   verwendet wird. Dieses Profil wird nur zum Abrufen der Domain-Map verwendet . Das Konfigurieren des Domain-Felds ist nicht erforderlich und kann leer gelassen werden. Der hier verwendete ANZEIGENserver kann ein weiterer Domain-Controller Ihres Waldes sein und der Partitions Container, den wir nach Domain-Map Abfragen, wird über alle Domain-Controller repliziert. Bitte beachten Sie die Notiz auf Schritt 2.
   
   Wenn Active Directory eine große Anzahl von Benutzern und Gruppen enthält, sollten Sie einige Suchfilter für Benutzer und Gruppen in der GM-AD-Einstellung konfigurieren. Dies ist, um die Auswirkungen von LDAP-Abfrage Ergebnissen auf die Management-Plane-Ressourcen für diese Gruppe-Mapping zu mildern.
    
5. Da diese Gruppen-Kartierung nur zur Ermittlung der Domain-Karte verwendet wird, ist es nicht notwendig, die Ergebnisse für Benutzer und Gruppe zu erhalten und zu behandeln.
   

In diesem Beispiel werden Suchfilter mit einem ' Dummy '-String konfiguriert, der im Beschreibungsfeld von Benutzern und Gruppen enthalten sein muss, um LDAP-Abfrageergebnisse in 0 zu garantieren.

Siehe auch:

LDAP Group Mappings in einer gemischten 6.x und 7.x Umgebung mit Panorama  

Besitzer: Nbilly