Le serveur LDAP n'est pas accessible via l'Interface de gestion
Resolution
Demande client
Par défaut, la communication LDAP d'un périphérique de Palo Alto Networks se produit via l'interface de gestion (Management) sur le périphérique. Dans certains environnements de réseau de déploiement, le serveur LDAP peut ne pas être accessible à partir de l'interface de gestion.
Note: dans certains cas, l'appareil de Palo Alto Networks est capable de tirer des mappages de groupe même si l'authentification LDAP échoue à partir du même serveur LDAP.
Détails
L'authentification LDAP utilise par défaut l'interface de gestion pour l'authentification et il n'existe aucune option de configuration d'itinéraire de service spécifiquement pour LDAP. Pour les informations de mappage de groupe, le périphérique Palo Alto Networks utilise par défaut l'interface de service de l'Agent d'ID utilisateur ou de gestion. Par conséquent, si l'itinéraire de service de l'Agent d'ID utilisateur est configuré, il est possible que les informations de mappage de groupe soient récupérées avec succès.
Résolution
Configurez un itinéraire de service pour le serveur LDAP avec la source comme l'une des interfaces dataplane.
- Accédez à Device > Setup > services
- Cliquez sur Configuration de l'Itinéraire de service
- Cliquez sur Sélectionner (S'il n'est pas déjà sélectionné) dans la boîte de dialogue Configuration de l'Itinéraire de service
- Ajouter un nouvel itinéraire de service
- Le champ adresse de destination doit être l'adresse IP du serveur LDAP.
- Le champ d'adresse source doit être l'adresse IP attribuée à l'interface Dataplane, qui peut accéder au serveur LDAP.
Remarque: la Convention d'adresse dans le champ de destination est basée sur l'hôte, IE/32. La définition d'un sous-réseau (par exemple, 192.168.1.0/24) doit être évitée.
Remarque: Assurez -vous que "L'utilisation de l'administrateur uniquement" est cochée dans le profil du serveur LDAP pour l'utiliser comme serveur d'Authentification pour l'accès admin.
propriétaire : akawimandan