Configuración de asignaciones de grupos en firewalls Panorama sin el dispositivo maestro.

• PAN-OS 8.1 y superior.
• Cualquier Panorama archivo .
• Configuración de asignación de grupos.

Visión general

Este documento describe cómo configurar y empujar y agrupar LDAP las configuraciones de asignación de Panorama los Firewalls de Palo Alto Networks administrados.

Pasos

Panorama no tiene la capacidad de enumerar los LDAP grupos y no puede seleccionar qué grupos agregar a la lista, pero es posible en el dispositivo Palo Alto Networks. Por lo tanto, los siguientes pasos utilizarán una combinación Panorama y el dispositivo para lograr el escenario deseado:

• Cree la configuración del LDAP perfil y empuje ese perfil al Panorama dispositivo
• Cree una configuración de asignación de grupo en Panorama , que filtrará los grupos necesarios e insertará esa configuración en el dispositivo

1. En Panorama , vaya a Perfiles de servidor de > dispositivo > perfil de servidor y cree el LDAP LDAP perfil. Utilice los parámetros conocidos para el LDAP servidor deseado.
   
2. Confirme la configuración Panorama y empuje la configuración de la plantilla a un dispositivo administrado.
   
    
3. Una vez completada la confirmación, marque el dispositivo para ver si se muestra el LDAP perfil:
   
4. Ir al dispositivo > identificación del usuario > configuración de asignación de grupo y generar un nuevo perfil de asignación de grupo. Durante el proceso, seleccione el LDAP perfil de servidor que se insertó desde Panorama .
   
5. En la lista de incluir grupo, agregue los grupos necesarios que se usarán en los firewalls por diferentes motivos (por ejemplo, crear directivas de seguridad o permitir GlobalProtect el acceso de los usuarios). Copie los grupos Nombres distinguidos para los grupos necesarios en una lista como se muestra a continuación:
   cn=marketing,cn=users, DC =al, DC =com
   cn=sales,cn=users, DC =al, DC =com
   cn=it,cn=users, DC =al, DC =com
   cn=hr,cn=users, DC =al, DC =com
   
   Cancele la creación de la asignación de grupo en el dispositivo. La lista se insertará de nuevo desde Panorama .
6. Pegue los nombres de grupo en la lista de incluir grupo en la asignación de grupo Panorama en:
   
7. Confirme el cambio de configuración Panorama activado y empuje hacia abajo la plantilla a los dispositivos:
   
8. Compruebe que la configuración de asignación de grupo se ha presionado al dispositivo:
   
9. Compruebe que los grupos se enumeran en la lista incluir asignaciones de grupos:
   
10. En función de los grupos empujados de , cree reglas de Panorama seguridad en los firewalls o permita que GlobalProtect los usuarios de esos grupos se conecten:

• Por ejemplo, Seguridad Policy :
  -
• Por ejemplo, GlobalProtect Portal:
  
  a partir de este momento, cualquier dispositivo nuevo que utilice la misma configuración de plantilla, tendrá la LDAP configuración de asignación de grupo y la configuración de asignación de grupo ya preconfiguradas.
  
  Los firewall administradores tienen la opción de invalidar la lista de grupos incluidos en la asignación de grupos y agregar grupos localmente significativos seleccionándolos desde el perfil LDAP (en este caso que es el "al\vpn_users").