LDAP-Server ist über die Management-SchnittStelle nicht erreichbar

Problem

Standardmäßig erfolgt die LDAP-Kommunikation von einem Palo Alto Networks-Gerät über die Management-Schnittstelle (MGT) auf dem Gerät. In einigen Deployment-Netzwerkumgebungen ist der LDAP-Server möglicherweise nicht von der MGT-Schnittstelle aus erreichbar.

Hinweis: in einigen Fällen ist das Palo Alto Networks-Gerät in der Lage, Gruppen Mappings zu ziehen, obwohl die LDAP-Authentifizierung vom gleichen LDAP-Server ausfällt.

Details

Die LDAP-Authentifizierung verwendet standardmäßig die Management-Schnittstelle für die Authentifizierung und es gibt keine Option zur Konfiguration des Service-Routen speziell für LDAP. Für Gruppen-Mapping-Informationen nutzt das Palo Alto Networks-Gerät standardmäßig die User-ID-Agent-Service-Route oder die Management-Schnittstelle. Wenn also die Service-Route des User-ID-Agenten konfiguriert ist, ist es möglich, dass die Gruppen-Mapping-Informationen erfolgreich abgerufen werden.

Lösung

Konfigurieren Sie eine Service-Route für den LDAP-Server mit der Quelle als eine der dataplane-Schnittstellen.

1. Navigieren Sie zu Device > Setup > Dienste
2. Klicken Sie auf Service Route Konfiguration
3. Klicken Sie auf Select (falls nicht bereits ausgewählt) im Dialog zur Konfiguration der Dienst Route
4. Eine neue Service-Route HinzuFügen
   1. Das Ziel-Adressfeld sollte die LDAP-Server-IP-Adresse sein.
   2. Das Quell Adressfeld sollte die IP-Adresse sein, die der Dataplane-Schnittstelle zugeordnet ist und auf den LDAP-Server zugreifen kann.

  Hinweis: die Adress Konvention im Zielfeld ist Host-basiert, dh/32. Die Definition eines Subnetzes (zum Beispiel 192.168.1.0/24) sollte vermieden werden.

Hinweis: Vergewissern Sie sich, dass die "Administrator-Nutzung" im LDAP-Server-Profil für die Verwendung als authentifizierender Server PA für den Admin-Zugriff überprüft wird.

Besitzer: Akawimandan