LDAP グループのユーザーを確認する方法
318880
Created On 09/25/18 19:20 PM - Last Modified 10/21/21 18:41 PM
Resolution
概要
パロアルトネットワークデバイスは、必要に応じてユーザーとグループを利用してセキュリティポリシーを作成できます。LDAP グループのユーザーをチェックすると、管理者はグループメンバーシップに基づいてアクセス許可を作成できます。
詳細
デバイス管理者は、LDAP グループを使用して、IP アドレスではなくユーザーに基づいてアクセスを提供します。ユーザー ID エージェント (ソフトウェアまたはハードウェア) は、IP ユーザーマッピングとパロアルトネットワークファイアウォールを取得する責任があります。ldap プロファイルに基づいて、ユーザ ID エージェントは ldap サーバからグループを読み取ります。これらのマッピングは、ファイアウォールの IP ユーザーマッピングテーブルに格納され、グループとメンバーはグループマッピングリストに格納されます。
手順
以下の手順を実行して、パロアルトネットワークファイアウォールが LDAP プロファイルの使用から読み取っているグループを探します。
- 各グループのリストは、次の CLI コマンドを使用して読み取ることができます。
> ユーザーグループリストの表示
cn = sales、cn = ユーザー、dc = al、dc = com
cn = it_development、cn = ユーザー、dc = al、dc = com
cn = groùpé、cn = ユーザー、dc = al、dc = com
cn = ドメイン管理者、cn = ユーザー、dc = il、dc = al、dc = com
cn = ドメインゲスト、cn = ユーザー、dc = al、dc = com
cn = it, cn = ユーザー, dc = al, dc = comcn = マーケティング, cn = ユーザー, dc = al, dc = com
cn = it_operations, cn = it, ou = グループ, dc = al, dc = openldap, dc = com
cn = it_operations、ou = グループ、dc = al、dc = openldap、dc = com
cn = it_operations、cn = ユーザー、dc = al、dc = com
cn = ドメインユーザー、cn = users, dc = il, dc = al, dc = com
cn = hr, cn = ユーザー, dc = al, dc = com
cn = it, ou = グループ, dc = al, dc = openldap, dc = com
cn = vpn_users、cn = ユーザー、dc = al、dc = com
cn = ドメインユーザー、cn = ユーザー、dc = al、dc = com - 前の手順で必要なグループを使用するには:
> [ユーザーグループ名を表示] cn = it_operations、cn = ユーザー、dc = al、dc = com
ソースの種類: サービス
ソース: AD_Group_Mapping_al
[1] al\alex [
2] al\biljanap
[3] al\damem
[4] al\ilija
[5] al\ilijaal [
6] al\ristok
[7] al\jovan
注: PAN-OS 6.0 で始まるそれは、無効にされた広告ユーザーをリストアップしません。
次の例は、AD の "alex" ドメインユーザーが無効になっ
ている ことを示しています。 - LDAP プロファイルのグループマッピングは、次の CLI コマンドを使用してリセットできます。
> デバッグユーザー id リセットグループ-マッピング AD_Group_Mapping
グループマッピング ' AD_Group_Mapping ' は vsys1 でリセットするようにマークされています。 - 以下の CLI コマンドを使用すると、ユーザーが出力に表示されなくなったことが表示されます。
> ユーザーグループ名の表示 cn = it_operations、cn = ユーザー、dc = al、dc = com
短い名前: al\it_operations
ソースの種類: サービス
ソース: AD_Group_マッピング
[1] al\biljanap
[2] al\damem
[3] al\ilija
[4] al\ilijaal
[5] al\ristok
[6] al\jovan
所有者: ialeksov