Cómo comprobar usuarios en grupos LDAP

Cómo comprobar usuarios en grupos LDAP

318832
Created On 09/25/18 19:20 PM - Last Modified 10/21/21 18:41 PM


Resolution


Resumen

Los dispositivos de Palo Alto Networks pueden utilizar opcionalmente usuarios y grupos para crear políticas de seguridad. La comprobación de usuarios en grupos LDAP permite a los administradores crear permisos de acceso basados en la pertenencia al grupo.

 

Detalles

Los administradores de dispositivos utilizan grupos LDAP para proporcionar acceso basado en usuarios y no en direcciones IP. El agente de ID de usuario (software o hardware) es responsable de obtener las asignaciones IP-User-y el Firewall de Palo Alto Networks. Basándose en el perfil LDAP, el agente de ID de usuario Lee grupos del servidor LDAP. Estas asignaciones se almacenan en la tabla de asignaciones de usuarios IP del cortafuegos, los grupos y los miembros de los grupos se almacenan en la lista asignaciones de grupos.

 

Pasos

Busque los grupos que el servidor de seguridad de Palo Alto Networks está leyendo usando un perfil LDAP realizando los pasos a continuación.

  1. Las listas de cada grupo se pueden leer utilizando el siguiente comando CLI:
    > Mostrar lista de grupos de usuarios

    CN = ventas, CN = usuarios, DC = al, DC = com
    CN = it_development, CN = usuarios, DC = al, DC = com
    CN = groùpé, CN = usuarios, DC = al, DC = com
    CN = administradores de dominio, CN = usuarios , DC = Il, DC = al, DC = com
    CN = clientes de dominio, CN = usuarios, DC = al, DC = com
    CN = it, CN = users, DC = al, DC = comCN = marketing, CN = users, DC = al, DC = com
    CN = it_operations, CN = it, ou = Groups, DC = al, DC = OpenLDAP, DC = com
    CN = it_operations , ou = Groups, DC = al, DC = OpenLDAP, DC = com
    CN = it_operations, CN = users, DC = al, DC = com
    CN = usuarios del dominio, CN = users, DC = Il, DC = al, DC = com
    CN = HR, CN = users, DC = al, DC = com
    CN = it, ou = Groups, DC = al, DC = OpenLDAP, DC = com
    CN = VPN_Users , CN = usuarios, DC = al, DC = com
    CN = usuarios del dominio, CN = usuarios, DC = al, DC = com

  2. Para utilizar el grupo necesario en el paso anterior:
    > Mostrar nombre de grupo de usuario CN = it_operations, CN = users, DC = al, DC = com

    tipo de fuente: servicio
    Fuente: AD_Group_Mapping_al. com
    [1] al\alex
    [2] al\biljanap
    [3] al\damem
    [4] al\ilija
    [5] al\ilijaal
    [6] al\ristok
    [7] al\jovan

    Nota: comenzando con pan-os 6,0 no listará a los usuarios de anuncios con discapacidades.
     El ejemplo siguiente muestra que el usuario del dominio "Alex" en AD ha sidoScreen Shot 2014-04-18 en 12.19.48 AM. png

    deshabilitado:
  3. Las asignaciones de grupo del perfil LDAP se pueden restablecer con el siguiente comando CLI:
    > Debug User-ID RESET grupo-mapping AD_Group_Mapping grupo de asignación
    ' AD_Group_Mapping ' en vsys1 está marcada para restablecer.

  4. Al usar el comando CLI a continuación, ahora muestra que el usuario ya no está listado en la salida:
    > Mostrar nombre de grupo de usuario CN = it_operations, CN = users, DC = al, DC = com
    nombre abreviado: al\it_operations
    tipo de fuente: servicio
    Fuente: AD_Group_ Mapping

    [1] al\biljanap
    [2] al\damem
    [3] al\ilija
    [4] al\ilijaal
    [5] al\ristok
    [6] al\jovan

 

Propietario: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language