正确的组和使用全局编录在多域 AD 林中的用户映射到 IP

概述

全局编录是一个分布式数据存储库, 它具有多域活动目录域林中每个域中每个对象的部分表示形式。这就是为什么帕洛阿尔托网络防火墙能够访问全局编录是非常有用的。这就消除了防火墙连接到林中所有 DC 的需要, 并且它将只维护与外部资源的一个连接。如果是 SSL, 则该连接将位于端口3268或3269上。

详细

当多个域正在使用中时, 有时很难在防火墙上获得正确的组和 IP 到用户映射。更确切地来说, 有时除了 IP 地址后面的用户之外, 防火墙上的域信息可能是错误的。这将导致该用户的通信量与错误的安全规则匹配。

要克服此问题, 请连接到全局编录并建立多个连接, 确保覆盖域并拥有正确的基础。

对于此方案, 在同一林中使用全局编录连接连接了3个不同的域。域名为: il.al.com、pub.al.com 和 mk.al.com, 这些都是 al.com 的子域。

在每个连接中, 它都使用同一个绑定 DN (根域中的用户) 连接, 它具有读取子域中信息的权限, 但会连接到不同的基, 并相应地重写域信息。

• 对于 "il.al.com" 域: 基元为 "dc = il, dc = al, dc = com", 域为 "il"
• 对于 "pub.al.com" 域: 基础是 "dc = 酒吧, dc = al, dc = com" 和域是 "酒吧"
• 对于 "mk.al.com" 域: 基础是 "dc = mk, dc = al, dc = com" 和域是 "mk"

配置这些更改, 设备 > 服务器配置文件 > LDAP:

此配置允许防火墙为每个域获取所需的组映射, 并在前面追加域, 因此它具有正确的用户和组信息, 并且正确的策略正在使用中。

配置 "设备 > 用户标识 > 组映射设置" 下的组映射设置, 以使用新创建的服务器配置文件。

如下所示, 如果需要, 添加组筛选器:

请参见

如何在多域活动目录域服务 (AD DS) 林中配置组映射

所有者： ialeksov