管理インターフェイスを通じて LDAP サーバーにアクセスできない
33645
Created On 09/25/18 17:52 PM - Last Modified 06/09/23 03:05 AM
Resolution
問題
デフォルトでは、パロアルトネットワークデバイスからの LDAP 通信は、デバイスの管理 (MGT) インターフェイスを通じて行われます。一部の展開ネットワーク環境では、MGT インターフェイスから LDAP サーバーにアクセスできない場合があります。
注:場合によっては、同じ ldap サーバから ldap 認証が失敗した場合でも、パロアルトネットワークデバイスがグループマッピングをプルすることができます。
詳細
既定では、ldap 認証では認証に管理インターフェイスが使用され、ldap 専用のサービスルート構成オプションはありません。グループマッピング情報の場合、パロアルトネットワークデバイスは、デフォルトでユーザー ID エージェントサービスルートまたは管理インタフェースを使用します。したがって、ユーザー ID エージェントのサービスルートが構成されている場合、グループマッピング情報が正常に取得される可能性があります。
解決方法
ソースを dataplane インターフェイスの1つとして、LDAP サーバーのサービスルートを構成します。
- デバイス > セットアップ > サービスに移動します。
- サービスルート設定をクリックします。
- [サービスルート設定] ダイアログボックスで [選択] (まだ選択されていない場合) をクリックします
- 新しいサービスルートの追加
- 送信先アドレスフィールドは、LDAP サーバーの IP アドレスである必要があります。
- [送信元アドレス] フィールドには、LDAP サーバーにアクセスできる Dataplane インターフェイスに割り当てられた IP アドレスを指定する必要があります。
注:宛先フィールドのアドレス規約はホストベース、ie/32 です。サブネットの定義 (たとえば、192.168.1.0/24) は避ける必要があります。
注:管理者アクセス用のサーバー PA の認証として使用するために、LDAP サーバプロファイルで「アドミニストレータのみ使用」がチェックされていることを確認してください。
所有者: akawimandan