如何在多域 Active Directory 域服务 (AD DS) 林中配置组映射

高达 PAN OS 6.1，对于更高版本的操作系统，请参阅本文

概述

本文档介绍如何正确配置组映射以避免多域 Active Directory 域服务 (AD DS) 林中跨域用户的用户名格式不一致。 如果从林中的任何其他域获取所有对象（用户或组），请使用定义为的 AD 服务器全球目录在组映射中。 全局目录是一个分布式数据存储库，其中包含林中每个域成员中每个对象的可搜索的部分表示。

重要的！ 如果配置不正确，可能会出现组映射中的某些用户被格式化为的问题fqdn-域名/用户名(dummy.example.com/username) 而不是netbios/域名（虚拟域/用户名），导致与从用户 ID 代理或无代理用户 ID 服务获取的 ip 用户映射不一致。

脚步

1. 配置为全局目录角色的 AD 服务器（通常是根域）需要在 LDAP 服务器配置文件下进行配置。 在端口 3268（或 SSL 的 3269）上连接到此服务器。
   
2. 像往常一样，配置领域字段让 PAN OS 替换域名。 否则留空。
   笔记：请注意，在全局目录上执行此操作将替换域名全部从该服务器获取的用户和组，包括来自其他域（林的成员）的用户和组。 如果将域名保留为空白会导致问题，则仅将域名添加到此字段中。 例如，如果域是“acme.local”但需要“acme”，则在领域场地。
    
3. 使用此配置文件配置组映射（如果需要，还配置包含列表）
   
4. 如果在步骤 2 中未手动配置域名，则必须使用另一个 LDAP 服务器配置文件配置额外的组映射，在常规端口 389（或 636 用于 SSL）上查询相同的 AD 服务器。 此操作对于正确填充用于规范化用户格式的域映射是强制性的netbios_domain_name/用户名
   
   此配置文件将仅用于获取域映射；配置领域字段不是必需的，可以留空。 此处使用的 AD 服务器可以是您的林的另一个域控制器，我们查询 domain-map 的分区容器通过所有域控制器进行复制。 请参阅第 2 步的注释。
   
   如果Active Directory 包含大量用户和组，建议您在GM-AD 设置中为用户和组配置一些搜索过滤器。 这是为了减轻 LDAP 查询结果对此组映射的管理平面资源的影响。
    
5. 由于此 Group-Mapping 仅用于确定域映射，因此没有必要获取和处理用户和组的结果。
   

在此示例中，搜索过滤器配置了一个“虚拟”字符串，该字符串必须包含在用户和组的描述字段中，以保证 LDAP 查询结果为 0。

也可以看看：

带全景的混合 6.x 和 7.x 环境中的 LDAP 组映射

拥有者：nbilly