如何使用 LDAP 代理来拉组

概述

当使用代理或无代理模式实现用户 ID 时, 通过在 "服务器配置文件" 选项卡下配置的 LDAP 配置文件提供的详细信息, 组映射设置通常由帕洛阿尔托网络防火墙拉动。但是, 绕过此附加函数可以通过在用户 ID 代理中实现 LDAP 代理来完成。

详细

下面显示的是工作场景。

不使用 LDAP 代理服务器:

1. 这里的组映射信息将直接由防火墙探测到活动目录 (AD), 只有用户 IP 映射信息才会通过代理进行。
2. 配置 LDAP 服务器配置文件和组映射配置文件。

使用 LDAP 代理:

1. 在这里, 组映射信息和用户 IP 映射信息将通过启用 LDAP 代理来通过代理来实现。
2. 还必须配置 LDAP 服务器配置文件和组映射配置文件。

实施

这可以使用 LDAP 代理实现。下面显示了可以配置的步骤:

1. 转到设备 >> 用户标识 > 用户 ID 代理
   
2. 单击 "添加" 以创建代理配置, 并启用 "用作 LDAP 代理服务器" 功能:
   

现在, 组映射信息将由防火墙通过代理来拉动, 而不是直接探测 ad, 从而确保防火墙和 ad 的所有通信都通过代理进行。

所有者︰ sbabu