Wie Sie Benutzer in LDAP-Gruppen ÜberPrüfen

Wie Sie Benutzer in LDAP-Gruppen ÜberPrüfen

318890
Created On 09/25/18 19:20 PM - Last Modified 10/21/21 18:41 PM


Resolution


Übersicht

Palo Alto Networks-Geräte können Benutzer und Gruppen optional nutzen, um Sicherheitsrichtlinien zu erstellen. Wenn Sie Benutzer in LDAP-Gruppen überPrüfen, können Administratoren Zugriffsberechtigungen auf der Grundlage der Gruppenmitgliedschaft erstellen

 

Details

Geräte Administratoren verwenden LDAP-Gruppen, um den Zugriff auf die Benutzer zu ermöglichen, nicht auf IP-Adressen. Der User-ID-Agent (Software oder Hardware) ist dafür verantwortlich, die IP-User-Mappings und die Palo Alto Networks Firewall zu erhalten. Basierend auf dem LDAP-Profil liest der User-ID-Agent Gruppen vom LDAP-Server. Diese Mappings werden in der IP-User-Mappings-Tabelle der Firewall gespeichert, die Gruppen und Mitglieder der Gruppen werden in der Gruppen-Mappings-Liste gespeichert.

 

Schritte

Finden Sie die Gruppen, die die Palo Alto Networks Firewall liest, aus einem LDAP-Profil, indem Sie die folgenden Schritte ausführen.

  1. Die Listen für jede Gruppe können mit folgendem CLI-Befehl gelesen werden:
    > Benutzergruppen Liste

    CN = Sales, CN = Benutzer, DC = Al, DC = com cn = it_development, CN = Users, DC = Al, DC = com
    CN =
    groùpé, CN = Benutzer, DC = Al, DC = com CN =
    Domain Admins, CN = Benutzer , DC = Il, DC = Al, DC = com
    CN = Domain-Gäste, CN = Benutzer, DC = Al, DC = com
    CN = IT, CN = User, DC = Al, DC = comCN = Marketing, CN = Users, DC = Al, DC = com
    CN = it_operations, CN = IT, ou = groups, DC = Al, DC = OpenLDAP, DC = com CN
    = it_operations , ou = Gruppen, DC = Al, DC = OpenLDAP, DC = com
    CN = it_operations, CN = Users, DC = Al, DC = com
    CN = Domain-Benutzer, CN = User, DC = Il, DC = Al, DC = com
    CN = HR, CN = Users, DC = Al, DC = com
    CN = IT, ou = groups, DC = Al, DC = OpenLDAP,
    DC = com cn = vpn_users , CN = Benutzer, DC = Al, DC = com
    CN = Domain-Benutzer, CN = Benutzer, DC = Al, DC = com

  2. Um die benötigte Gruppe im vorigen Schritt zu verwenden:
    > Benutzergruppe Name CN = it_operations, CN = Benutzer, DC = Al, DC = com

    Source Type: Service
    Source: AD_Group_Mapping_al. com
    [1] al\alex
    [2] al\biljanap
    [3] al\damem
    [4] al\ilija
    [5] al\ilijaal
    [6] al\ristok
    [7] Al\jovan

    Anmerkung: beginnend mit Pan-OS 6,0 wird es die Behinderten anzeigen Benutzer nicht auflisten.
     Das folgende Beispiel zeigt, dass der "Alex"-Domain-Benutzer auf AnzeigeScreenshot 2014-04-18 um 12.19.48 Uhr. png

    deaktiviert wurde:
  3. Die Gruppen-Mappings auf dem LDAP-Profil können mit folgendem CLI-Befehl zurückgesetzt werden:
    > Debug User-ID Reset-Gruppe-Mapping AD_Group_Mapping
    Group Mapping ' AD_Group_Mapping ' in vsys1 ist für Reset markiert.

  4. Wenn Sie den CLI-Befehl unten verwenden, zeigt er nun an, dass der Benutzer nicht mehr in der Ausgabe aufgelistet ist:
    > Benutzergruppen Name CN = it_operations, CN = Benutzer, DC = Al, DC = com
    Short Name: al\it_operations
    Source Type: Service
    Source: AD_Group_ Mapping [

    1] al\biljanap
    [2] al\damem
    [3] al\ilija
    [4] al\ilijaal
    [5] al\ristok
    [6] al\jovan

 

Besitzer: Ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language