Cómo configurar la asignación de grupos en un bosque de servicios de dominio de Active Directory (AD DS) de varios dominios

Hasta PAN-OS 6.1, para versiones posteriores del sistema operativo, vea este artículo

Visión general

Este documento describe cómo configurar correctamente la asignación de grupos para evitar inconsistencias en el formato de nombre de usuario para los usuarios de dominios cruzados en un bosque de servicios de dominio de Active Directory (AD DS) de varios dominios. Si recupera todos los objetos (usuario o grupos) de cualquier otro dominio del bosque, use el servidor de AD definido como catálogo global en la asignación de grupos. El catálogo global es un repositorio de datos distribuido que contiene una representación parcial y buscable de cada objeto en todos los miembros del dominio del bosque.

¡Importante! Si no se configuran correctamente, puede haber problemas en los que algunos usuarios en la asignación de grupos tienen el formato fqdn-domain-name/username (dummy.example.com/username) en lugar de netbios/domain-name (dummydomain/username), lo que provoca incoherencias con la asignación ip-user recuperada del Agente de ID de usuario o por el servicio user-ID sin agente.

Pasos

1. El servidor de anuncios configurado como rol de catálogo global (normalmente el dominio raíz) debe configurarse en perfiles de servidor LDAP. Conéctese a este servidor en el puerto 3268 (o 3269 para SSL).
   
2. Como de costumbre, configure el campo Dominio para que PAN-OS reemplace el nombre de dominio. Déjelo en blanco de lo contrario.
   Nota: Tenga en cuenta que al hacerlo en Catálogo global se reemplazará el nombre de dominio para TODOS los usuarios y grupos capturados de este servidor, incluidos los de otros dominios (miembros del bosque). Sólo agregue un nombre de dominio a este campo si mantenerlo en blanco causa problemas. Por ejemplo, si el dominio es "acme.local" pero se necesita "acme", escriba "acme" en el campo Dominio .
    
3. Utilice este perfil para configurar la asignación de grupos (y configurar la lista incluida si es necesario)
    
4. Si el nombre de dominio no se configuró manualmente en el paso 2, es obligatorio configurar una asignación de grupo adicional mediante otro perfil de servidor LDAP, consultando el mismo servidor de anuncios en el puerto regular 389 (o 636 para SSL). Esta operación es obligatoria para rellenar correctamente el mapa de dominio utilizado para normalizar el formato de usuario como netbios_domain_name/nombre
   
   de usuario Este perfil solo se usará para obtener el mapa de dominio; la configuración del campo Dominio no es necesaria y puede dejarse en blanco. El servidor de anuncios utilizado aquí puede ser otro controlador de dominio de su bosque y el contenedor de particiones que consultamos para el mapa de dominio se replica a través de todos los controladores de dominio. Consulte la nota en el paso 2.
   
   Si Active Directory contiene un gran número de usuarios y grupos, se recomienda configurar algunos filtros de búsqueda para usuarios y grupos en la configuración de GM-AD. Esto es para mitigar el impacto de los resultados de la consulta LDAP en los recursos del plano de administración de esta asignación de grupos.
    
5. Dado que esta asignación de grupo sólo se utiliza para determinar el mapa de dominio, no es necesario obtener y controlar los resultados para los usuarios y el grupo.
   

En este ejemplo, los filtros de búsqueda se configuran con una cadena ' dummy ' que debe estar contenida en el campo de descripción de los usuarios y grupos para garantizar los resultados de la consulta LDAP en 0.

Véase también:

Asignaciones de grupos LDAP en un entorno mixto de 6,x y 7,x con panorama  

Propietario: nbilly