Comment vérifier les utilisateurs dans les groupes LDAP

Vue d’ensemble

Les périphériques de Palo Alto Networks peuvent éventuellement utiliser des utilisateurs et des groupes pour créer des stratégies de sécurité. La vérification des utilisateurs dans les groupes LDAP permet aux administrateurs de créer des autorisations d'accès basées sur l'appartenance au groupe.

Détails

Les administrateurs de périphériques utilisent des groupes LDAP pour fournir un accès basé sur les utilisateurs, et non sur les adresses IP. L'agent d'identification de l'utilisateur (logiciel ou matériel) est responsable de l'obtention des mappages IP-utilisateur et du pare-feu de Palo Alto Networks. Sur la base du profil LDAP, l'agent user-ID lit les groupes du serveur LDAP. Ces mappages sont stockés dans la table des mappages d'utilisateurs IP du pare-feu, les groupes et les membres des groupes sont stockés dans la liste mappages de groupes.

Étapes

Trouvez les groupes que le pare-feu de Palo Alto Networks lit à l'Aide d'un profil LDAP en effectuant les étapes ci-dessous.

1. Les listes pour chaque groupe peuvent être lues à l'Aide de la commande CLI suivante:
   > Show liste des groupes d'utilisateurs
   
   CN = Sales, CN = utilisateurs, DC = al, DC = com
   CN = it_development, CN = Users, DC = al, DC = com
   CN = groùpé, CN = Users, DC = al, DC = com
   CN = Domain Admins, CN = Users , DC = il, DC = al, DC = com
   CN = clients de domaine, CN = utilisateurs, DC = al, DC = com
   CN = IT, CN = Users, DC = al, DC = comCN = marketing, CN = Users, DC = al, DC = com
   CN = it_operations, CN = IT, ou = Groups, DC = al, DC = OpenLDAP, DC = com
   CN = it_operations , ou = Groups, DC = al, DC = OpenLDAP, DC = com
   CN = it_operations, CN = Users, DC = al, DC = com
   CN = utilisateurs de domaine, CN = Users, DC = il, DC = al, DC = com
   CN = hr, CN = Users, DC = al, DC = com
   CN = IT, ou = Groups, DC = al, DC = OpenLDAP, DC = com
   CN = VPN_Users , CN = utilisateurs, DC = al, DC = com
   CN = utilisateurs de domaine, CN = utilisateurs, DC = al, DC = com
   
   
2. Pour utiliser le groupe nécessaire à l'étape précédente:
   > Show nom du groupe d'utilisateurs CN = it_operations, CN = Users, DC = al, DC = com
   
   type de source: service
   source: AD_Group_Mapping_al. com
   [1] al\alex
   [2] al\biljanap
   [3] al\damem
   [4] al\ilija
   [5] al\ilijaal
   [6] al\ristok
   [7] al\jovan
   
   Note: en commençant par Pan-OS 6,0, il ne répertorie pas les utilisateurs d'AD handicapés.
   L'exemple ci-dessous montre l'utilisateur de domaine "Alex" sur l'ANNONCE
   
   a été désactivé:
   
3. Les mappages de groupe sur le profil LDAP peuvent être réinitialisés à l'Aide de la commande CLI suivante:
   > Debug User-ID Reset Group-mappage AD_Group_Mapping
   groupe mappage'AD_Group_Mapping'dans vsys1 est marqué pour Reset.
   
   
4. Lorsque vous utilisez la commande CLI ci-dessous, elle affiche maintenant que l'utilisateur n'est plus répertorié dans la sortie:
   > Show nom du groupe d'utilisateurs CN = it_operations, CN = Users, DC = al, DC = com
   Short Name: al\it_operations
   source type: service
   source: AD_Group_ Cartographie
   
   [1] al\biljanap
   [2] al\damem
   [3] al\ilija
   [4] al\ilijaal
   [5] al\ristok
   [6] al\jovan

propriétaire : ialeksov