マルチドメイン Active Directory ドメイン サービス (AD DS) フォレストでグループ マッピングを構成する方法

PAN-OS 6.1 まで。それ以降の OS バージョンについては、を参照してください。この記事

概要

このドキュメントでは、マルチドメイン Active Directory ドメイン サービス (AD DS) フォレスト内のクロスドメイン ユーザーのユーザー名形式の不一致を回避するために、グループ マッピングを正しく構成する方法について説明します。 フォレスト内の他のドメインからすべてのオブジェクト (ユーザーまたはグループ) を取得する場合は、次のように定義された AD サーバーを使用します。グローバルカタロググループマッピングで。 グローバル カタログは、フォレストのすべてのドメイン メンバー内のすべてのオブジェクトの検索可能な部分表現を含む分散データ リポジトリです。

重要！ 適切に構成されていない場合、グループ マッピング内の一部のユーザーが次のようにフォーマットされるという問題が発生する可能性があります。 FQDN ドメイン名/ユーザー名(dummy.example.com/ユーザー名) の代わりにnetbios/ドメイン名(dummydomain/username) により、User-ID エージェントまたはエージェントレス User-ID サービスによって取得された ip-user-mapping との不一致が発生します。

ステップ

1. グローバル カタログ ロール (通常はルート ドメイン) として構成された AD サーバーは、LDAP サーバー プロファイルで構成する必要があります。 ポート 3268 (SSL の場合は 3269) でこのサーバーに接続します。
   
2. いつものように、ドメインフィールドを使用して、PAN-OS にドメイン名を置き換えます。 それ以外の場合は空白のままにしてください。
   ノート：グローバル カタログでこれを実行すると、ドメイン名が置き換えられることに注意してください。全て他のドメイン (フォレストのメンバー) からのユーザーとグループを含む、このサーバーから取得されたユーザーとグループ。 このフィールドを空白のままにすると問題が発生する場合にのみ、このフィールドにドメイン名を追加します。 たとえば、ドメインが「acme.local」だが「acme」が必要な場合は、「acme」と入力します。ドメイン分野。
    
3. このプロファイルを使用して、グループ マッピングを設定します (必要に応じて、含まれるリストも設定します)。
   
4. ステップ 2 でドメイン名が手動で構成されていない場合は、別の LDAP サーバー プロファイルを使用して追加のグループ マッピングを構成し、通常のポート 389 (または SSL の場合は 636) で同じ AD サーバーにクエリを実行する必要があります。 この操作は、ユーザー形式を正規化するために使用されるドメインマップを正しく設定するために必須です。 netbios_ドメイン名/ユーザー名
   
   このプロファイルは、ドメイン マップを取得するためにのみ使用されます。構成するドメインフィールドは必須ではないため、空白のままでも構いません。 ここで使用される AD サーバーはフォレストの別のドメイン コントローラーにすることができ、ドメイン マップをクエリするパーティション コンテナーはすべてのドメイン コントローラーを通じてレプリケートされます。 ステップ 2 の注記を参照してください。
   
   Active Directory に多数のユーザーとグループが含まれている場合は、GM-AD 設定でユーザーとグループに対していくつかの検索フィルターを構成することをお勧めします。 これは、このグループ マッピングの管理プレーン リソースに対する LDAP クエリ結果の影響を軽減するためです。
    
5. このグループ マッピングはドメイン マップを決定するためにのみ使用されるため、ユーザーとグループの結果を取得して処理する必要はありません。
   

この例では、LDAP クエリの結果が 0 になることを保証するために、検索フィルタは「ダミー」文字列を使用して構成されています。この文字列はユーザーとグループの説明フィールドに含める必要があります。

関連項目:

パノラマを使用した 6.x と 7.x の混合環境での LDAP グループ マッピング

オーナー: ンビリー