Konfigurieren von Gruppenzuordnungen für Firewalls Panorama ohne Das Mastergerät.

• PAN-OS 8.1 und höher.
• Jede Panorama .
• Gruppenzuordnungseinstellungen.

Übersicht

In diesem Dokument wird beschrieben, wie Sie Einstellungen zum Konfigurieren und Übertragen LDAP und Gruppieren von Zuordnungen von Panorama den verwalteten Palo Alto Networks-Firewalls konfigurieren und übertragen.

Schritte

Panorama hat nicht die Möglichkeit, die Gruppen aufzulisten LDAP und kann nicht auswählen, welche Gruppen der Liste hinzugefügt werden sollen, ist aber auf dem Palo Alto Networks-Gerät möglich. Daher werden die folgenden Schritte eine Kombination Panorama aus und dem Gerät verwenden, um das gewünschte Szenario zu erzielen:

• Erstellen sie die LDAP Panorama Profilkonfiguration, und übertragen Sie dieses Profil auf das Gerät.
• Erstellen Sie eine Gruppenzuordnungseinstellungen für Panorama , die die erforderlichen Gruppen filtern und diese Konfiguration auf das Gerät übertragen.

1. PanoramaWechseln Sie unter Device > Server Profiles > LDAP ServerProfile, und erstellen Sie das LDAP Profil. Verwenden Sie die bekannten Parameter für den gewünschten LDAP Server.
   
2. Übertragen Sie die Konfiguration Panorama an, und drücken Sie die Vorlagenkonfiguration auf ein verwaltetes Gerät.
   
    
3. Überprüfen Sie nach Abschluss des Commits das Gerät, um festzustellen, ob das LDAP Profil angezeigt wird:
   
4. Gehen Sie zum Gerät > BenutzerIdentifikation > Gruppen-Mapping-Einstellungen und generieren Sie ein neues Gruppen-Mapping-Profil. Wählen Sie während des Vorgangs das LDAP Serverprofil aus. Panorama
   
5. Fügen Sie in der Gruppeneinfügeliste die erforderlichen Gruppen hinzu, die aus verschiedenen Gründen auf den Firewalls verwendet werden (z. B. das Erstellen von Sicherheitsrichtlinien oder das Zulassen des GlobalProtect Zugriffs für Benutzer). Kopieren Sie die Gruppen Distinguished Names for the groups needed in a list as listed below:
   cn=marketing,cn=users, DC =al, DC =com
   cn=sales,cn=users, DC =al, DC =com
   cn=it,cn=users, DC =al, DC =com
   cn=hr,cn=users, DC =al, DC =com
   
   Cancel the creation of the Group Mapping on the device. Die Liste wird erneut von Panorama verschoben.
6. Fügen Sie die Gruppennamen in die Gruppeneinschließenliste unter der Gruppenzuordnung unter Panorama :
   
7. Übernehmen Sie die Panorama Konfigurationsänderung, und drücken Sie die Vorlage auf die Geräte:
   
8. ÜberPrüfen Sie, ob die Gruppen-Mapping-Einstellungen auf das Gerät gedrückt werden:
   
9. ÜberPrüfen Sie, ob die Gruppen in der Gruppe Mappings enthalten sind Liste:
   
10. Erstellen Sie basierend auf den Push-Gruppen aus Panorama Sicherheitsregeln für die Firewalls, oder ermöglichen GlobalProtect Sie Benutzern aus diesen Gruppen die Verbindung:

• Zum Beispiel, Sicherheit Policy :
  -
• Beispiel: GlobalProtect Portal:
  
  Ab diesem Zeitpunkt ist auf jedem neuen Gerät, das dieselbe Vorlagenkonfiguration verwendet, die LDAP und die Gruppenzuordnungseinstellungen bereits vorkonfiguriert.
  
  Die firewall Administratoren haben die Möglichkeit, die Gruppe enthaltene Liste in der Gruppenzuordnung zu überschreiben und lokal wichtige Gruppen hinzuzufügen, indem sie sie aus dem Profil auswählen LDAP (in diesem Fall ist dies die "al-vpn_users").