Gruppe und IP User Mapping in Multi-Domain-AD-Gesamtstruktur mit globalen Katalog zu korrigieren

Gruppe und IP User Mapping in Multi-Domain-AD-Gesamtstruktur mit globalen Katalog zu korrigieren

46274
Created On 09/25/18 17:41 PM - Last Modified 06/13/23 02:19 AM


Resolution


Übersicht

Der globale Katalog ist ein verteiltes Datenarchiv mit einer Teil Darstellung jedes Objekts in jeder Domäne in einem Multi-Domain-aktiven Verzeichnis-Domain-Wald. Aus diesem Grund ist es für die Palo Alto Networks Firewall nützlich, Zugriff auf den globalen Katalog zu haben. Dadurch entfällt die Notwendigkeit, dass sich die Firewall mit allen DC es im Wald verbindet, und Sie wird nur eine Verbindung zu einer externen Ressource pflegen. Diese Verbindung wird auf Port 3268 oder 3269 sein, wenn es SSL ist.

Details

Wenn mehrere Domains verwendet werden, gibt es manchmal einen Kampf, um die richtige Gruppe und IP zu erhalten, um die Benutzer-Kartierung auf der Firewall. Genauer gesagt, manchmal neben dem Benutzer hinter der IP-Adresse, die bekannt ist, können die Domain-Informationen auf der Firewall falsch sein. Dies führt dazu, dass der Traffic für diesen Benutzer mit der falschen Sicherheitsregel übereinstimmt.

Um dieses Problem zu überwinden, verbinden Sie sich mit dem globalen Katalog und stellen Sie mehrere Verbindungen zu ihm her, um sicherzustellen, dass Sie die Domain überschreiben und die richtige Basis haben.

Für dieses Szenario gibt es 3 verschiedene Domains, die im selben Wald mit der globalen Katalog Verbindung verbunden sind. Die Domain-Namen sind: Il.al.com, Pub.al.com und Mk.al.com, die alle Subdomains von Al.com sind.

In jeder Verbindung wird es mit dem gleichen Bind DN (ein Benutzer in der Root-Domäne, der Rechte hat, die Informationen in den Subdomains zu lesen) verbunden, wird sich aber mit einer anderen Basis verbinden und die Domain-Informationen entsprechend überschreiben.

  • Für die Domäne "Il.al.com": die Basis ist "DC = Il, DC = Al, DC = com" und die Domäne ist "Il"
  • Für die Domäne "Pub.al.com": die Basis ist "DC = Pub, DC = Al, DC = com" und die Domäne ist "pub"
  • Für die Domäne "Mk.al.com": die Basis ist "DC = MK, DC = Al, DC = com" und die Domäne ist "mk"

Konfigurieren Sie diese Änderungen unter, Device > Server Profile > LDAP:

Screenshot 2014-07-14 um 9.18.14 Uhr. png

Diese Konfiguration ermöglicht es der Firewall, die benötigten Gruppen Mappings für jede Domäne zu holen und die Domain vorne anzufügen, so dass Sie die korrekten Benutzer-und Gruppeninformationen hat und die richtige Richtlinie verwendet wird.

Konfigurieren Sie die Gruppen-Mapping-Einstellung unter, Gerät > BenutzerIdentifikation > Gruppen-Mapping-Einstellung, um das neu erstellte Server-Profil zu verwenden.

Screenshot 2014-07-14 um 9.17.44 Uhr. png

Wie unten gezeigt, fügen Sie bei Bedarf Gruppen Filter hinzu:

Screenshot 2014-07-14 um 9.17.58 Uhr. png

Siehe auch

Wie man Gruppen-Mapping in einem Multi-Domain-Active-Verzeichnis-Domain-Dienste (AD DS)-Wald konfiguriert

Besitzer: Ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI8CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language