グループおよびユーザー マッピング マルチ ドメインの AD フォレストのグローバル カタログを使用する ip アドレスを修正します。

概要

グローバルカタログは、マルチドメインの Active Directory ドメインフォレスト内のすべてのドメイン内のすべてのオブジェクトを部分的に表現した分散データリポジトリです。これは、パロアルトネットワークファイアウォールは、グローバルカタログにアクセスできるようにするために有用である理由です。これにより、ファイアウォールがフォレスト内のすべての DC に接続する必要がなくなり、外部リソースへの接続は1つだけ維持されます。この接続は、SSL の場合はポート3268または3269になります。

詳細

複数のドメインが使用されている場合、ファイアウォール上のユーザーマッピングに対して正しいグループと IP を取得するのに苦労することがあります。より正確には、IP アドレスの背後にあるユーザー以外にも、ファイアウォール上のドメイン情報が間違っている可能性があります。これにより、そのユーザーのトラフィックが間違ったセキュリティ規則に一致するようになります。

この問題を乗り越えるには、グローバルカタログに接続し、複数の接続を確立して、ドメインをオーバーライドし、正しいベースを持つようにしてください。

このシナリオでは、グローバルカタログ接続を使用して、同じフォレストに3つの異なるドメインが接続されています。ドメイン名は: il.al.com、pub.al.com と mk.al.com、al.com のすべてのサブドメインです。

各接続では、同一の Bind DN (ルートドメイン内のユーザーが、ドメイン内の情報を読み取る権限を持つ) を使用して接続されますが、別のベースに接続し、それに応じてドメイン情報を上書きします。

• "il.al.com" ドメインの場合: ベースは "dc = il、dc = al、dc = com" であり、ドメインは "il" です。
• "pub.al.com" ドメインの場合: ベースは "dc = パブ、dc = al、dc = com" であり、ドメインは "パブ" です
• "mk.al.com" ドメインの場合: ベースは "dc = mk、dc = al、dc = com" であり、ドメインは "mk" です。

これらの変更を構成するには、デバイス > サーバープロファイル > LDAP:

この構成により、ファイアウォールは各ドメインに必要なグループマッピングをフェッチし、ドメインを前面に追加できるため、適切なユーザーとグループの情報があり、正しいポリシーが使用されます。

新しく作成したサーバープロファイルを使用するには、[デバイス] > [ユーザー id] > [グループマッピング] の設定の [グループマッピング] 設定を構成します。

次に示すように、必要に応じてグループフィルタを追加します。

また見なさい

複数ドメインの Active Directory ドメインサービス (AD DS) フォレストでグループマッピングを構成する方法

所有者: ialeksov