无法通过管理界面访问 LDAP 服务器
33647
Created On 09/25/18 17:52 PM - Last Modified 06/09/23 03:05 AM
Resolution
问题
默认情况下, 来自帕洛阿尔托网络设备的 LDAP 通信通过设备上的管理 (企业管理) 接口进行。在某些部署网络环境中, LDAP 服务器可能无法从网管接口访问。
注意:在某些情况下, 即使 ldap 身份验证在同一 ldap 服务器上失败, 帕洛阿尔托网络设备也能够拉入组映射.
详细
默认情况下 LDAP 身份验证使用管理接口进行身份验证, 并且没有专门针对 LDAP 的服务路由配置选项。对于组映射信息, 在默认情况下, 帕洛阿尔托网络设备使用用户 ID 代理服务路由或管理接口。因此, 如果配置了用户 ID 代理服务路由, 则可能会成功检索组映射信息。
解决办法
将 LDAP 服务器的服务路由配置为 dataplane 接口之一。
- 导航到设备 > 安装 > 服务
- 单击 "服务路由配置"
- 在 "服务路由配置" 对话框中单击 "选择" (如果尚未选中)
- 添加新的服务路由
- 目标地址字段应为 LDAP 服务器 IP 地址。
- 源地址字段应该是分配给 Dataplane 接口的 IP 地址, 它可以访问 LDAP 服务器。
注意:目标字段中的地址约定是基于主机 (即 32). 应避免定义子网 (例如, 192.168.1. 0/24)。
注意:请确保在 LDAP 服务器配置文件中检查 "仅管理员使用", 以便用作身份验证服务器 PA 以进行管理员访问.
所有者︰ akawimandan