Grupo correcto y IP de asignación de usuario en dominios múltiples AD bosque con catálogo Global

Grupo correcto y IP de asignación de usuario en dominios múltiples AD bosque con catálogo Global

46272
Created On 09/25/18 17:41 PM - Last Modified 06/13/23 02:19 AM


Resolution


Resumen

El catálogo global es un repositorio de datos distribuido con una representación parcial de cada objeto en todos los dominios de un bosque de dominios de Active Directory de varios dominios. Por eso es útil que el Firewall de Palo Alto Networks tenga acceso al catálogo global. Esto elimina la necesidad de que el cortafuegos se conecte a todos los DC en el bosque, y mantendrá sólo una conexión a un recurso externo. Esa conexión estará en el puerto 3268 o 3269 si es SSL.

Detalles

Cuando hay varios dominios en uso, a veces hay una lucha para obtener el grupo correcto e IP a la asignación de usuario en el firewall. Para ser más precisos, a veces, además del usuario detrás de la dirección IP que se conoce, la información del dominio en el Firewall puede ser incorrecta. Esto hará que el tráfico de ese usuario coincida con la regla de seguridad incorrecta.

Para superar este problema, conéctese al catálogo global y establezca múltiples conexiones, asegurándose de anular el dominio y tener la base correcta.

Para este escenario, hay 3 dominios diferentes conectados en el mismo bosque usando la conexión de catálogo global. Los nombres de dominio son: Il.al.com, pub.al.com y MK.al.com, que son todos los subdominios de al.com.

En cada conexión, se conecta utilizando el mismo enlace DN (un usuario en el dominio raíz, que tiene derechos para leer la información en los subdominios), pero se conectará a una base diferente y anulará la información del dominio en consecuencia.

  • Para el dominio "Il.al.com": la base es "DC = Il, DC = al, DC = com" y el dominio es "Il"
  • Para el dominio "pub.al.com": la base es "DC = pub, DC = al, DC = com" y el dominio es "pub"
  • Para el dominio "Mk.al.com": la base es "DC = MK, DC = al, DC = com" y el dominio es "MK"

Configure estos cambios en, dispositivo > perfiles de servidor > LDAP:

Screen Shot 2014-07-14 en 9.18.14 PM. png

Esta configuración permite al firewall obtener las asignaciones de grupo necesarias para cada dominio y anexar el dominio en el frente, por lo que tiene la información correcta de usuario y grupo y la política correcta está en uso.

Configure la configuración de asignación de grupo en, dispositivo > identificación de usuario > configuración de asignación de grupo, para utilizar el perfil de servidor recién creado.

Screen Shot 2014-07-14 en 9.17.44 PM. png

Como se muestra a continuación, añada filtros de grupo si es necesario:

Screen Shot 2014-07-14 en 9.17.58 PM. png

Ver también

Cómo configurar la asignación de grupos en un bosque de servicios de dominio de Active Directory (AD DS) de varios dominios

Propietario: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI8CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language