Comment faire pour configurer le mappage de groupe dans une forêt AD DS (Active Directory Domain Services) multi-domaines

Jusqu’à PAN-OS 6.1, pour les versions os ultérieures, voir cet article

Aperçu

Ce document décrit comment configurer correctement le mappage de groupe afin d'éviter les incohérences dans le format de nom d'utilisateur pour les utilisateurs inter-domaines dans une forêt AD DS (Active Directory Domain Services) multi-domaines. Si vous récupérez tous les objets (utilisateurs ou groupes) de n’importe quel autre domaine de la forêt, utilisez le serveur AD défini comme catalogue global dans la cartographie de groupe. Le catalogue global est un référentiel de données distribué qui contient une représentation partielle et interrogeable de chaque objet dans chaque membre de domaine de la forêt.

Important! S’ils ne sont pas configurés correctement, il peut y avoir des problèmes où certains utilisateurs de la cartographie de groupe sont formatés comme fqdn-domain-name/username (dummy.example.com/username) au lieu de netbios/nom de domaine (mannequin/nom d’utilisateur), ce qui entraîne des incohérences avec la cartographie ip-utilisateur récupérée auprès de l’agent d’identification utilisateur ou par le service d’identification utilisateur sans agent.

Étapes

1. Le serveur AD configuré comme rôle de catalogue global (généralement le domaine racine) doit être configuré sous profils de serveur LDAP. Connectez-vous à ce serveur sur le port 3268 (ou 3269 pour SSL).
   
2. Comme d’habitude, configurez le champ Domaine pour que PAN-OS remplace le nom de domaine. Laissez-le vide autrement.
   Note: Sachez que cela sur Global Catalog remplacera le nom de domaine pour TOUS les utilisateurs et groupes récupérés à partir de ce serveur, y compris ceux d’autres domaines (membres de la forêt). Ajoutez seulement un nom de domaine dans ce champ si le maintien en blanc cause des problèmes. Par exemple, si le domaine est « acme.local » mais que « acme » est nécessaire, entrez « acme » dans le champ Domaine .
    
3. Utilisez ce profil pour configurer la cartographie de groupe (et configurer la liste incluse si nécessaire)
    
4. Si le nom de domaine n'a pas été configuré manuellement à l'étape 2, il est obligatoire de configurer un mappage de groupe supplémentaire à l'Aide d'un autre profil de serveur LDAP, en interrogeant le même serveur d'annonces sur le port normal 389 (ou 636 pour SSL). Cette opération est obligatoire pour remplir correctement la carte de domaine utilisée pour normaliser le format utilisateur en tant que netbios_domain_name/nom
   
   d’utilisateur Ce profil ne sera utilisé que pour récupérer la carte de domaine; la configuration du champ Domaine n’est pas nécessaire et peut être laissé vide. Le serveur publicitaire utilisé ici peut être un autre contrôleur de domaine de votre forêt et le conteneur de partition que nous interrogeons pour Domain-map est répliqué par l'intermédiaire de tous les contrôleurs de domaine. S’il vous plaît voir la note sur l’étape 2.
   
   Si Active Directory contient un grand nombre d’utilisateurs et de groupes, il est conseillé de configurer certains filtres de recherche pour les utilisateurs et les groupes dans le paramètre GM-AD. Il s'agit d'atténuer l'impact des résultats de requête LDAP sur les ressources plan de gestion pour ce mappage de groupe.
    
5. Comme ce mappage de groupe est utilisé uniquement pour déterminer le domaine-Map, l'obtention et la gestion des résultats pour les utilisateurs et le groupe n'est pas nécessaire.
   

Dans cet exemple, les filtres de recherche sont configurés avec une chaîne «factice» qui doit être contenue dans le champ Description des utilisateurs et des groupes pour garantir les résultats de requête LDAP dans 0.

Voir aussi :

Cartographies de groupe LDAP dans un environnement mixte 6.x et 7.x avec Panorama  

propriétaire : nbilly