提示和技巧: 自定义 LDAP 组

从 PAN OS 版本7.0 开始, 一个新功能允许防火墙管理员创建自定义 LDAP 组, 它由基于属性的搜索筛选器定义。 此功能消除了必须让 AD 管理员参与创建特定用户组的操作。 然后, 可以在防火墙安全策略中使用这些自定义 LDAP 组。

现在, 通过使用相关属性筛选出用户, 不再需要在 AD 中添加或更改用户组 (防火墙管理员经常无法访问该进程)。

配置在设备 >> 用户标识 > 组映射设置下找到, 如下面的示例所示:

如果自定义用户组名称与现有 AD 组冲突, 则自定义组优先!

定义组列表后, 可以使用以下命令确认新组是否存在。 请注意, 星号标记自定义组。

> 显示用户组列表

荷兰办事处 *
比利时办事处 *
giefname *

cn = 域管理员, cn = 用户, dc = pantac, dc = 实验室

总计: 5
*: 自定义组     

使用以下命令验证组的成员身份:

>> 显示用户组名称 giefname

源类型: 服务
组类型: 自定义
来源: 集团地图

[1] pantac \ kwens   

 在定义了组之后, 可以在安全策略中使用它们, 如示例所示:

为了进行此工作, 请确保知道要筛选的字段的属性名称。 如果不确定名称, 请使用 ADSI 查看用户对象属性:

有些属性名很狡猾, 有些则是不言而喻的。 下面只是几个例子:

• 城市 = l
• 办公室 = physicalDeliveryOfficeName
• 部门 = 部门
• 姓氏 = sn
• 名字 = givenName

或者, 您可以签出以下站点以按字母顺序列出所有属性:

 活动目录用户的属性

如果您使用的是组映射通信的服务路由, 请为所需的接口配置 LDAP 服务, 如下所示:

请留下评论或类似的, 如果你发现这些信息有帮助。

谢谢你 ！

-金