Cómo tirar del grupo mediante un proxy LDAP

Resumen

Cuando se implementa el ID de usuario con el agente o el modo sin agente, los ajustes de asignación de grupo suelen ser jalados por el cortafuegos de Palo Alto Networks a través de los detalles proporcionados por el perfil LDAP configurado en la ficha perfil del servidor. Sin embargo, el omitir esta función adicional se puede realizar implementando proxy LDAP en el agente de ID de usuario.

Detalles

A continuación se muestran los escenarios de trabajo.

Sin utilizar proxy LDAP:

1. Aquí la información de asignación de grupo será sondeada directamente por el cortafuegos a Active Directory (ad) y sólo la información de asignación de IP de usuario pasará a través del agente.
2. Configure un perfil de servidor LDAP y un perfil de asignación de grupo.

Uso del proxy LDAP:

1. Aquí, tanto la información de asignación de grupo como la información de asignación de IP de usuario sucederán mediante el agente habilitando proxy LDAP.
2. También debe configurarse un perfil de servidor LDAP y un perfil de asignación de grupo.

Implementación

Esto se puede implementar usando el proxy LDAP. A continuación se muestran los pasos en los que se puede configurar:

1. Ir al dispositivo > identificación del usuario > ID de usuario agentes
   
2. Haga clic en Agregar para crear una configuración de agente y habilite la función "usar como proxy LDAP":
   

Ahora la información de asignación de grupo será jalada por el Firewall a través del agente en lugar de sondear el anuncio directamente, asegurando así que todas las comunicaciones del firewall y el anuncio sucedan a través del agente.

Propietario: sbabu