Corriger le groupe et la propriété intellectuelle au mappage d’utilisateurs dans plusieurs domaines AD forêt à l’aide du catalogue Global

Corriger le groupe et la propriété intellectuelle au mappage d’utilisateurs dans plusieurs domaines AD forêt à l’aide du catalogue Global

46278
Created On 09/25/18 17:41 PM - Last Modified 06/13/23 02:19 AM


Resolution


Vue d’ensemble

Le catalogue global est un référentiel de données distribué avec une représentation partielle de chaque objet dans chaque domaine dans une forêt de domaine Active Directory multi-domaines. C'est pourquoi il est utile pour le pare-feu de Palo Alto Networks d'avoir accès au catalogue global. Cela élimine la nécessité pour le pare-feu de se connecter à tous les DC dans la forêt, et il ne maintiendra qu'une seule connexion à une ressource externe. Cette connexion sera sur le port 3268 ou 3269 si elle est SSL.

Détails

Lorsque plusieurs domaines sont en cours d'utilisation, parfois il ya une lutte pour obtenir le groupe correct et IP à l'utilisateur de mappage sur le pare-feu. Pour être plus précis, parfois en plus de l'utilisateur derrière l'adresse IP étant connue, les informations de domaine sur le pare-feu peut être erronée. Cela entraînera le trafic de cet utilisateur pour correspondre à la règle de sécurité incorrecte.

Pour dépasser ce problème, connectez-vous au catalogue global et établissez-y plusieurs connexions, en veillant à remplacer le domaine et à avoir la base correcte.

Pour ce scénario, il existe 3 domaines différents connectés dans la même forêt à l'Aide de la connexion de catalogue global. Les noms de domaine sont: il.al.com, Pub.al.com et MK.al.com, qui sont tous des sous-domaines de al.com.

Dans chaque connexion, il est connecté en utilisant le même DN bind (un utilisateur dans le domaine racine, qui a des droits pour lire les informations dans les sous-domaines), mais se connecter à une base différente et de remplacer les informations de domaine en conséquence.

  • Pour le domaine "il.al.com": la base est "DC = il, DC = al, DC = com" et le domaine est "il"
  • Pour le domaine "pub.al.com": la base est "DC = pub, DC = al, DC = com" et le domaine est "pub"
  • Pour le domaine "MK.al.com": la base est "DC = MK, DC = al, DC = com" et le domaine est "MK"

Configurez ces modifications sous, Device > Server Profiles > LDAP:

Screen Shot 2014-07-14 à 9.18.14 PM. png

Cette configuration permet au pare-feu d'extraire les mappages de groupe nécessaires pour chaque domaine et d'ajouter le domaine en face, de sorte qu'il dispose des informations d'utilisateur et de groupe correctes et que la stratégie correcte est en cours d'utilisation.

Configurez le paramètre mappage de groupe sous, Device > identification de l'utilisateur, paramètre mappage de groupe, pour utiliser le profil de serveur nouvellement créé.

Screen Shot 2014-07-14 à 9.17.44 PM. png

Comme indiqué ci-dessous, ajoutez des filtres de groupe si nécessaire:

Screen Shot 2014-07-14 à 9.17.58 PM. png

Voir aussi

Comment faire pour configurer le mappage de groupe dans une forêt AD DS (Active Directory Domain Services) multi-domaines

propriétaire : ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI8CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language