Configuration des mappages de groupe sur les pare-feu à Panorama l’aide sans l’appareil principal.
91046
Created On 09/25/18 17:41 PM - Last Modified 03/26/21 16:27 PM
Environment
- PAN-OS 8,1 et plus.
- Tout Panorama .
- Paramètres de cartographie de groupe.
Resolution
Aperçu
Ce document décrit comment configurer et pousser et LDAP regrouper les paramètres de cartographie Panorama des pare-feu gérés de Palo Alto Networks.
Étapes
Panorama n’a pas la possibilité d’énumérer LDAP les groupes et ne peut pas sélectionner les groupes à ajouter à la liste, mais est possible sur l’appareil Palo Alto Networks. Par conséquent, les étapes suivantes utiliseront une combinaison et Panorama l’appareil pour atteindre le scénario souhaité :
- Créez la LDAP configuration du profil et Panorama poussez ce profil vers l’appareil
- Créer un groupe de paramètres de cartographie Panorama sur , qui filtrera les groupes nécessaires et pousser cette configuration à l’appareil
- Sur Panorama , allez à Device > Server Profiles > Profil serveur et créer le LDAP LDAP profil. Utilisez les paramètres connus pour le serveur LDAP désiré.
- Engagez la configuration et Panorama poussez la configuration du modèle vers le bas pour un seul périphérique géré.
- Une fois commit terminé, vérifiez l’appareil pour voir si le LDAP profil est affiché :
- Accédez à Device > identification de l'Utilisateur > paramètres de mappage de groupe et générer un nouveau profil de mappage de groupe. Au cours du processus, sélectionnez le LDAP profil serveur qui a été poussé à partir de Panorama .
- Dans la liste d’inclure le groupe, ajoutez les groupes nécessaires qui seront utilisés sur les pare-feu pour différentes raisons (par exemple, créer des stratégies de sécurité ou GlobalProtect autoriser l’accès pour les utilisateurs). Copiez les noms distingués des groupes nécessaires dans une liste énumérée
ci-dessous : cn=marketing,cn=users, DC =al, DC =com
cn=sales,cn=users, DC =al, DC =com
cn=it,cn=users, DC =al, DC =com
cn=hr,cn=users, DC =al, =com Annuler la création de DC la cartographie de groupe sur
l’appareil. La liste sera poussée à nouveau à partir de Panorama . - Coller les noms de groupe dans le groupe Inclure la liste sous la cartographie de groupe sur Panorama :
- Engagez la modification de configuration Panorama et poussez le modèle vers les périphériques :
- Vérifiez que les paramètres de mappage de groupe sont poussés vers le bas sur le périphérique:
- Vérifiez que les groupes sont répertoriés dans la liste inclure les mappages de groupe:
- Basé sur les groupes poussés à partir Panorama , créer des règles de sécurité sur les pare-feu ou permettre aux utilisateurs de ces groupes de se GlobalProtect connecter:
- Par exemple, Sécurité Policy :
- - Par exemple, Portal : À partir de ce moment, tout nouvel appareil qui utilise la même configuration de modèle aura les paramètres de cartographie et les paramètres de cartographie GlobalProtect
de groupe LDAP déjà préconfigurés.
Les administrateurs ont la possibilité de passer outre à la liste du groupe inclus dans la cartographie de groupe et d’ajouter localement des groupes significatifs en les sélectionnant à partir du profil (dans ce firewall LDAP cas, c’est le « al\vpn_users »).
Additional Information
Pour configurer la même chose avec l’appareil Master, consultez l’article Comment configurer pour extraire panorama des informations de cartographie de groupe à partir d’un firewall géré avec l’appareil principal.
Remarque :L’utilisation de l’appareil principal tirera les informations de cartographie de groupe dans Panorama .