管理インターフェイスを通じて LDAP サーバーにアクセスできない

問題

デフォルトでは、パロアルトネットワークデバイスからの LDAP 通信は、デバイスの管理 (MGT) インターフェイスを通じて行われます。一部の展開ネットワーク環境では、MGT インターフェイスから LDAP サーバーにアクセスできない場合があります。

注:場合によっては、同じ ldap サーバから ldap 認証が失敗した場合でも、パロアルトネットワークデバイスがグループマッピングをプルすることができます。

詳細

既定では、ldap 認証では認証に管理インターフェイスが使用され、ldap 専用のサービスルート構成オプションはありません。グループマッピング情報の場合、パロアルトネットワークデバイスは、デフォルトでユーザー ID エージェントサービスルートまたは管理インタフェースを使用します。したがって、ユーザー ID エージェントのサービスルートが構成されている場合、グループマッピング情報が正常に取得される可能性があります。

解決方法

ソースを dataplane インターフェイスの1つとして、LDAP サーバーのサービスルートを構成します。

1. デバイス > セットアップ > サービスに移動します。
2. サービスルート設定をクリックします。
3. [サービスルート設定] ダイアログボックスで [選択] (まだ選択されていない場合) をクリックします
4. 新しいサービスルートの追加
   1. 送信先アドレスフィールドは、LDAP サーバーの IP アドレスである必要があります。
   2. [送信元アドレス] フィールドには、LDAP サーバーにアクセスできる Dataplane インターフェイスに割り当てられた IP アドレスを指定する必要があります。

  注:宛先フィールドのアドレス規約はホストベース、ie/32 です。サブネットの定義 (たとえば、192.168.1.0/24) は避ける必要があります。

注:管理者アクセス用のサーバー PA の認証として使用するために、LDAP サーバプロファイルで「アドミニストレータのみ使用」がチェックされていることを確認してください。

所有者: akawimandan