Corriger le groupe et la propriété intellectuelle au mappage d’utilisateurs dans plusieurs domaines AD forêt à l’aide du catalogue Global
Resolution
Vue d’ensemble
Le catalogue global est un référentiel de données distribué avec une représentation partielle de chaque objet dans chaque domaine dans une forêt de domaine Active Directory multi-domaines. C'est pourquoi il est utile pour le pare-feu de Palo Alto Networks d'avoir accès au catalogue global. Cela élimine la nécessité pour le pare-feu de se connecter à tous les DC dans la forêt, et il ne maintiendra qu'une seule connexion à une ressource externe. Cette connexion sera sur le port 3268 ou 3269 si elle est SSL.
Détails
Lorsque plusieurs domaines sont en cours d'utilisation, parfois il ya une lutte pour obtenir le groupe correct et IP à l'utilisateur de mappage sur le pare-feu. Pour être plus précis, parfois en plus de l'utilisateur derrière l'adresse IP étant connue, les informations de domaine sur le pare-feu peut être erronée. Cela entraînera le trafic de cet utilisateur pour correspondre à la règle de sécurité incorrecte.
Pour dépasser ce problème, connectez-vous au catalogue global et établissez-y plusieurs connexions, en veillant à remplacer le domaine et à avoir la base correcte.
Pour ce scénario, il existe 3 domaines différents connectés dans la même forêt à l'Aide de la connexion de catalogue global. Les noms de domaine sont: il.al.com, Pub.al.com et MK.al.com, qui sont tous des sous-domaines de al.com.
Dans chaque connexion, il est connecté en utilisant le même DN bind (un utilisateur dans le domaine racine, qui a des droits pour lire les informations dans les sous-domaines), mais se connecter à une base différente et de remplacer les informations de domaine en conséquence.
- Pour le domaine "il.al.com": la base est "DC = il, DC = al, DC = com" et le domaine est "il"
- Pour le domaine "pub.al.com": la base est "DC = pub, DC = al, DC = com" et le domaine est "pub"
- Pour le domaine "MK.al.com": la base est "DC = MK, DC = al, DC = com" et le domaine est "MK"
Configurez ces modifications sous, Device > Server Profiles > LDAP:
Cette configuration permet au pare-feu d'extraire les mappages de groupe nécessaires pour chaque domaine et d'ajouter le domaine en face, de sorte qu'il dispose des informations d'utilisateur et de groupe correctes et que la stratégie correcte est en cours d'utilisation.
Configurez le paramètre mappage de groupe sous, Device > identification de l'utilisateur, paramètre mappage de groupe, pour utiliser le profil de serveur nouvellement créé.
Comme indiqué ci-dessous, ajoutez des filtres de groupe si nécessaire:
Voir aussi
propriétaire : ialeksov