Wie man Gruppe mit einem LDAP-Proxy zieht
Resolution
Übersicht
Bei der Implementierung von User-ID mit Agent oder Agentless-Modus werden die Gruppen-Mapping-Einstellungen in der Regel durch die Palo Alto Networks-Firewall durch die Details des LDAP-Profils gezogen, die unter dem Server-Profil-Tab konfiguriert sind. Die Umgehung dieser zusätzlichen Funktion kann jedoch durch die Implementierung von LDAP-Proxy im User-ID-Agent erfolgen.
Details
Im folgenden sind die arbeitsszenarien dargestellt.
Ohne LDAP-Proxy zu verwenden:
- Hier werden die Gruppen-Mapping-Informationen direkt von der Firewall in das Active-Verzeichnis (AD) geprüft und nur die IP-Mapping-Informationen des Benutzers werden über den Agent erfolgen.
- Konfigurieren Sie ein LDAP-Server-Profil und ein Gruppen-Mapping-Profil.
Mit LDAP-Proxy:
- Hier werden sowohl die Gruppen-Mapping-Informationen als auch die Benutzer-IP-Mapping-Informationen durch den Agent durch die Aktivierung von LDAP-Proxy durch
- Ein LDAP-Server-Profil und ein Gruppen-Mapping-Profil müssen ebenfalls konfiguriert werden.
Implementierung
Dies kann mit dem LDAP-Proxy implementiert werden. Im folgenden sind die Schritte dargestellt, in denen es konfiguriert werden kann:
- Gehen Sie zum Gerät > BenutzerIdentifikation > User-ID-Agenten
- Klicken Sie auf HinzuFügen, um eine Agent-Konfiguration zu erstellen und aktivieren Sie die Funktion "als LDAP-Proxy verwenden":
Nun werden die Gruppen-Mapping-Informationen von der Firewall durch den Agenten gezogen, anstatt die Anzeige direkt zu Sonden, so dass alle Mitteilungen von der Firewall und der Anzeige durch den Agent passieren.
Besitzer: Sbabu