LDAP 自定义组
Resolution
了解 LDAP 组映射中的自定义组
使用自定义组 "子标签创建基于 ldap 筛选器的自定义组, 以便可以将防火墙策略基于与基于 ldap 的服务 (如活动目录 (AD)) 中的现有用户组不匹配的用户属性。用户 ID 将所有与筛选器匹配的 LDAP 目录用户映射到自定义组。如果创建具有相同可分辨名称 (DN) 的自定义组作为现有 AD 组域名, 则防火墙将在对该名称的所有引用中使用该自定义组。
让我们考虑在 AD 中有两个组, 以及该组中的一些用户。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
上述组已在 AD 中创建。我们现在根据用户属性在帕洛阿尔托网络上创建自定义组。
这里 User1 + User2 + User10 + USER20 属于 IT 部门,
User3 + User4 + User30 + USER40 属于财务部
现在, 我们可以使用用户属性创建两个单独的组。
可以在 "属性编辑器" 选项卡中查看属性列表:
或者, 签出此链接以查看按字母顺序排列的用户属性列表。http://www.selfadsi.org/user-attributes.htm
可以添加到组映射配置中的组总数(跨自定义组"子标签和" 组包括列表 "子标签") 是每个虚拟系统 (vsys) 的 640.
要创建自定义组, 请单击 "添加", 输入组名(在当前防火墙/vsys 的组映射配置中必须是唯一的), 指定一个最多2048个字符的 LDAP 筛选器,然后单击"确定".
创建或克隆自定义组后, 必须先执行提交, 然后才能在策略和对象中使用该组。
例如, 现在我们将创建一个只允许财务用户使用的规则。
确认新组存在并包含预期成员。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
金融
它
总计: 4
*: 自定义组
admin@PA-200>显示用户组名称财务
源类型: ldap
组类型: 自定义
来源: 域
[1] 域 \ rsriramo
LDAP 自定义组:
概述:
此文档解释如何理解 LDAP 组映射中的自定义组
自定义组 "子标签创建基于 ldap 筛选器的自定义组, 以便可以将防火墙策略基于与基于 ldap 的服务 (如活动目录 (AD)) 中的现有用户组不匹配的用户属性。用户 ID 将所有与筛选器匹配的 LDAP 目录用户映射到自定义组。如果创建具有相同可分辨名称 (DN) 的自定义组作为现有 AD 组域名, 则防火墙在对该名称的所有引用中使用自定义组
让我们考虑在 AD 中有两组, 以及该组中的某些用户。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
现在, 上述组已经在 AD 中创建。我们现在根据用户属性在 PaloAlto 中创建自定义组。
这里 User1 + User2 + User10 + USER20 属于 IT 部门,
User3 + User4 + User30 + USER40 属于财务部
现在, 我们可以使用用户属性创建两个单独的组。
检查下面的链接以查找按字母顺序排列的用户属性列表
http://www.selfadsi.org/user-attributes.htm
也可以在属性编辑器选项卡中找到
可以添加到组映射配置中的组总数(跨自定义组"子标签和" 组包括列表 "子标签") 是每个虚拟系统 (vsys) 的 640.
要创建自定义组, 请单击 "添加", 输入组名(在当前防火墙/vsys 的组映射配置中必须是唯一的), 指定一个最多2048个字符的 LDAP 筛选器,然后单击"确定".
创建或克隆自定义组后, 必须先执行提交, 然后才能在策略和对象中使用该组。
现在, 我们创建了一个规则, 只允许财务用户
确认新组存在并包含预期成员
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
金融
它
总计: 4
*: 自定义组
admin@PA-200>显示用户组名称财务
源类型: ldap
组类型: 自定义
来源: 域
[1] 域 \ rsriramo
概述:
此文档解释如何理解 LDAP 组映射中的自定义组
自定义组 "子标签创建基于 ldap 筛选器的自定义组, 以便可以将防火墙策略基于与基于 ldap 的服务 (如活动目录 (AD)) 中的现有用户组不匹配的用户属性。用户 ID 将所有与筛选器匹配的 LDAP 目录用户映射到自定义组。如果创建具有相同可分辨名称 (DN) 的自定义组作为现有 AD 组域名, 则防火墙在对该名称的所有引用中使用自定义组
让我们考虑在 AD 中有两组, 以及该组中的某些用户。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
现在, 上述组已经在 AD 中创建。我们现在根据用户属性在 PaloAlto 中创建自定义组。
这里 User1 + User2 + User10 + USER20 属于 IT 部门,
User3 + User4 + User30 + USER40 属于财务部
现在, 我们可以使用用户属性创建两个单独的组。
检查下面的链接以查找按字母顺序排列的用户属性列表
http://www.selfadsi.org/user-attributes.htm
也可以在属性编辑器选项卡中找到
可以添加到组映射配置中的组总数(跨自定义组"子标签和" 组包括列表 "子标签") 是每个虚拟系统 (vsys) 的 640.
要创建自定义组, 请单击 "添加", 输入组名(在当前防火墙/vsys 的组映射配置中必须是唯一的), 指定一个最多2048个字符的 LDAP 筛选器,然后单击"确定".
创建或克隆自定义组后, 必须先执行提交, 然后才能在策略和对象中使用该组。
现在, 我们创建了一个规则, 只允许财务用户
确认新组存在并包含预期成员
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
金融
它
总计: 4
*: 自定义组
admin@PA-200>显示用户组名称财务
源类型: ldap
组类型: 自定义
来源: 域
[1] 域 \ rsriramo
kjkjhjsjhssdd
概述:
此文档解释如何理解 LDAP 组映射中的自定义组
自定义组 "子标签创建基于 ldap 筛选器的自定义组, 以便可以将防火墙策略基于与基于 ldap 的服务 (如活动目录 (AD)) 中的现有用户组不匹配的用户属性。用户 ID 将所有与筛选器匹配的 LDAP 目录用户映射到自定义组。如果创建具有相同可分辨名称 (DN) 的自定义组作为现有 AD 组域名, 则防火墙在对该名称的所有引用中使用自定义组
让我们考虑在 AD 中有两组, 以及该组中的某些用户。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
现在, 上述组已经在 AD 中创建。我们现在根据用户属性在 PaloAlto 中创建自定义组。
这里 User1 + User2 + User10 + USER20 属于 IT 部门,
User3 + User4 + User30 + USER40 属于财务部
现在, 我们可以使用用户属性创建两个单独的组。
检查下面的链接以查找按字母顺序排列的用户属性列表
http://www.selfadsi.org/user-attributes.htm
也可以在属性编辑器选项卡中找到
可以添加到组映射配置中的组总数(跨自定义组"子标签和" 组包括列表 "子标签") 是每个虚拟系统 (vsys) 的 640.
要创建自定义组, 请单击 "添加", 输入组名(在当前防火墙/vsys 的组映射配置中必须是唯一的), 指定一个最多2048个字符的 LDAP 筛选器,然后单击"确定".
创建或克隆自定义组后, 必须先执行提交, 然后才能在策略和对象中使用该组。
现在, 我们创建了一个规则, 只允许财务用户
确认新组存在并包含预期成员
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
金融
它
总计: 4
*: 自定义组
admin@PA-200>显示用户组名称财务
源类型: ldap
组类型: 自定义
来源: 域
[1] 域 \ rsriramo
概述:
此文档解释如何理解 LDAP 组映射中的自定义组
自定义组 "子标签创建基于 ldap 筛选器的自定义组, 以便可以将防火墙策略基于与基于 ldap 的服务 (如活动目录 (AD)) 中的现有用户组不匹配的用户属性。用户 ID 将所有与筛选器匹配的 LDAP 目录用户映射到自定义组。如果创建具有相同可分辨名称 (DN) 的自定义组作为现有 AD 组域名, 则防火墙在对该名称的所有引用中使用自定义组
让我们考虑在 AD 中有两组, 以及该组中的某些用户。
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
现在, 上述组已经在 AD 中创建。我们现在根据用户属性在 PaloAlto 中创建自定义组。
这里 User1 + User2 + User10 + USER20 属于 IT 部门,
User3 + User4 + User30 + USER40 属于财务部
现在, 我们可以使用用户属性创建两个单独的组。
检查下面的链接以查找按字母顺序排列的用户属性列表
http://www.selfadsi.org/user-attributes.htm
也可以在属性编辑器选项卡中找到
可以添加到组映射配置中的组总数(跨自定义组"子标签和" 组包括列表 "子标签") 是每个虚拟系统 (vsys) 的 640.
要创建自定义组, 请单击 "添加", 输入组名(在当前防火墙/vsys 的组映射配置中必须是唯一的), 指定一个最多2048个字符的 LDAP 筛选器,然后单击"确定".
创建或克隆自定义组后, 必须先执行提交, 然后才能在策略和对象中使用该组。
现在, 我们创建了一个规则, 只允许财务用户
确认新组存在并包含预期成员
admin@PA-VM > 显示用户组列表
cn=Group1,cn=users,dc=domain,dc=com
cn=Group2,cn=users,dc=domain,dc=com
金融
它
总计: 4
*: 自定义组
admin@PA-200>显示用户组名称财务
源类型: ldap
组类型: 自定义
来源: 域
[1] 域 \ rsriramo