无法通过管理界面访问 LDAP 服务器

问题

默认情况下, 来自帕洛阿尔托网络设备的 LDAP 通信通过设备上的管理 (企业管理) 接口进行。在某些部署网络环境中, LDAP 服务器可能无法从网管接口访问。

注意:在某些情况下, 即使 ldap 身份验证在同一 ldap 服务器上失败, 帕洛阿尔托网络设备也能够拉入组映射.

详细

默认情况下 LDAP 身份验证使用管理接口进行身份验证, 并且没有专门针对 LDAP 的服务路由配置选项。对于组映射信息, 在默认情况下, 帕洛阿尔托网络设备使用用户 ID 代理服务路由或管理接口。因此, 如果配置了用户 ID 代理服务路由, 则可能会成功检索组映射信息。

解决办法

将 LDAP 服务器的服务路由配置为 dataplane 接口之一。

1. 导航到设备 > 安装 > 服务
2. 单击 "服务路由配置"
3. 在 "服务路由配置" 对话框中单击 "选择" (如果尚未选中)
4. 添加新的服务路由
   1. 目标地址字段应为 LDAP 服务器 IP 地址。
   2. 源地址字段应该是分配给 Dataplane 接口的 IP 地址, 它可以访问 LDAP 服务器。

  注意:目标字段中的地址约定是基于主机 (即 32). 应避免定义子网 (例如, 192.168.1. 0/24)。

注意:请确保在 LDAP 服务器配置文件中检查 "仅管理员使用", 以便用作身份验证服务器 PA 以进行管理员访问.

所有者︰ akawimandan