无需主设备即可在防火墙上配置组映射 Panorama 。

• PAN-OS 8.1 及以上。
• 任何 Panorama .
• 组映射设置。

概述

本文档描述了如何从 LDAP Panorama 托管的 Palo Alto 网络防火墙配置、推送和组映射设置。

步骤

Panorama 没有列出组的功能 LDAP ，无法选择要添加到列表中的组，但在 Palo Alto 网络设备上是可能的。 因此，以下步骤将使用 Panorama 组合和设备来实现所需的场景：

• 创建 LDAP 配置文件配置 Panorama 并将配置文件推入设备
• 创建组映射设置 Panorama ，这将筛选所需的组并将该配置推至设备

1. 打开 Panorama ，转到设备>服务器配置文件> LDAP 服务器配置文件并创建 LDAP 配置文件。 将已知参数用于所需的 LDAP 服务器。
   
2. 将配置提交给 Panorama 一个管理设备，并将模板配置推至一个管理设备。
   
    
3. 提交完成后，检查设备以查看 LDAP 个人资料是否显示：
   
4. 转到设备 > 用户标识 > 组映射设置并生成新的组映射配置文件。 在此过程中，选择 LDAP 从 Panorama 。
   
5. 在"组包括列表"中，添加出于不同原因将在防火墙上使用的组（例如，创建安全策略或允许 GlobalProtect 用户访问）。 复制下面列出的列表中需要的组的杰出名称
   ：cn=营销，cn=用户 DC ，[al]，[com DC
   cn]销售，cn=用户 DC ，[al，]com DC
   cn=it，cn=用户 DC ，[al，#com DC
   cn]小时，cn=用户 DC DC ，[al]，[com
   
   取消设备上的组映射的创建。 名单将再次从 Panorama 。
6. 在组映射下粘贴组名包括列表 Panorama ：
   
7. 提交配置更改 Panorama 并向下推模板到设备：
   
8. 验证组映射设置是否向下推送到设备:
   
9. 验证组映射中列出的组是否包括列表:
   
10. 基于推入的组 Panorama ，在防火墙上创建安全规则或允许 GlobalProtect 这些组的用户连接：

• 例如，安全 Policy ：
  -
• 例如 GlobalProtect ，Portal：
  
  从此开始，任何使用相同模板配置的新设备都将预先 LDAP 配置组映射设置和组映射设置。
  
  firewall管理员可以选择覆盖组映射中的"包含组列表"，并通过从配置文件中选择具有本地重要性组 LDAP （在此例中为"al\vpn_users"）。