LDAP-Server ist über die Management-SchnittStelle nicht erreichbar
Resolution
Problem
Standardmäßig erfolgt die LDAP-Kommunikation von einem Palo Alto Networks-Gerät über die Management-Schnittstelle (MGT) auf dem Gerät. In einigen Deployment-Netzwerkumgebungen ist der LDAP-Server möglicherweise nicht von der MGT-Schnittstelle aus erreichbar.
Hinweis: in einigen Fällen ist das Palo Alto Networks-Gerät in der Lage, Gruppen Mappings zu ziehen, obwohl die LDAP-Authentifizierung vom gleichen LDAP-Server ausfällt.
Details
Die LDAP-Authentifizierung verwendet standardmäßig die Management-Schnittstelle für die Authentifizierung und es gibt keine Option zur Konfiguration des Service-Routen speziell für LDAP. Für Gruppen-Mapping-Informationen nutzt das Palo Alto Networks-Gerät standardmäßig die User-ID-Agent-Service-Route oder die Management-Schnittstelle. Wenn also die Service-Route des User-ID-Agenten konfiguriert ist, ist es möglich, dass die Gruppen-Mapping-Informationen erfolgreich abgerufen werden.
Lösung
Konfigurieren Sie eine Service-Route für den LDAP-Server mit der Quelle als eine der dataplane-Schnittstellen.
- Navigieren Sie zu Device > Setup > Dienste
- Klicken Sie auf Service Route Konfiguration
- Klicken Sie auf Select (falls nicht bereits ausgewählt) im Dialog zur Konfiguration der Dienst Route
- Eine neue Service-Route HinzuFügen
- Das Ziel-Adressfeld sollte die LDAP-Server-IP-Adresse sein.
- Das Quell Adressfeld sollte die IP-Adresse sein, die der Dataplane-Schnittstelle zugeordnet ist und auf den LDAP-Server zugreifen kann.
Hinweis: die Adress Konvention im Zielfeld ist Host-basiert, dh/32. Die Definition eines Subnetzes (zum Beispiel 192.168.1.0/24) sollte vermieden werden.
Hinweis: Vergewissern Sie sich, dass die "Administrator-Nutzung" im LDAP-Server-Profil für die Verwendung als authentifizierender Server PA für den Admin-Zugriff überprüft wird.
Besitzer: Akawimandan