マスターデバイスを使用しないファイアウォールでのグループマッピング Panorama の設定。

• PAN-OS 8.1以上。
• 任意 Panorama の .
• グループ マッピング設定。

概要

このドキュメントでは、 LDAP Panorama 管理対象のパロアルトネットワークスファイアウォールに設定およびプッシュしてグループマッピング設定を行う方法について説明します。

手順

Panorama グループをリストする機能を持っていない LDAP し、リストに追加するグループを選択することはできませんが、パロアルトネットワークスデバイス上で可能です。 したがって、次の手順では、デバイスとの組み合わせを使用 Panorama して、目的のシナリオを実現します。

• LDAPプロファイル構成を作成 Panorama し、そのプロファイルをデバイスにプッシュする
• にグループ マッピング設定 Panorama を作成し、必要なグループをフィルタ処理し、その設定をデバイスにプッシュします。

1. で Panorama 、[デバイス > サーバー プロファイル>サーバー プロファイル] に移動 LDAP し、プロファイルを作成 LDAP します。 目的のサーバーの既知のパラメーターを使用 LDAP します。
   
2. 構成をコミット Panorama し、テンプレート構成を 1 つの管理対象デバイスにプッシュします。
   
    
3. コミットが完了したら、デバイスをチェックして LDAP 、プロファイルが表示されているかどうかを確認します。
   
4. [デバイス] > [ユーザー id] > [グループマッピング設定] に移動し、新しいグループマッピングプロファイルを生成します。 プロセス中に、 LDAP からプッシュされたサーバー プロファイルを選択 Panorama します。
   
5. [グループの追加] ボックスに、さまざまな理由 (セキュリティ ポリシーの作成やユーザーへのアクセス許可など) のためにファイアウォールで使用する必要のあるグループ GlobalProtect を追加します。 以下にリストに示すように、リストに必要なグループの識別名をコピー
   します: cn=marketing,cn=ユーザー DC ,=al,=com DC
   cn=it,ユーザー,=al,=com DC DC
   DC DC
   cn=hr,cn=ユーザー,=al,=com cn=hr,cn=ユーザー,=al,=com cn=hr,cn=ユーザー DC ,=al,=com デバイス DC
   
   上のグループマッピングの作成をキャンセルします。 リストは から再度押されます Panorama 。
6. グループマッピングの下のグループインクルードリストにグループ名を貼り付けます Panorama :
   
7. 設定の変更をコミット Panorama し、テンプレートをデバイスにプッシュダウンします。
   
8. グループマッピング設定がデバイスにプッシュダウンされていることを確認します。
   
9. グループマッピングインクルードリストにグループが表示されていることを確認します。
   
10. からプッシュされたグループに基づいて Panorama 、ファイアウォール上でセキュリティルールを作成するか、 GlobalProtect それらのグループのユーザーに接続を許可します。

• たとえば、セキュリティ Policy :
  -
• たとえば GlobalProtect 、Portal:
  
  この時点から、同じテンプレート設定を使用する新しいデバイスには、 LDAP および グループ マッピング設定が既に事前に構成されています。
  
  firewall管理者は、グループ マッピングのグループ含まれるリストを上書きし、プロファイルからグループを選択してローカルに重要なグループを追加するオプション LDAP があります (この場合は"al\vpn_users")。