如何检查 LDAP 组中的用户
318820
Created On 09/25/18 19:20 PM - Last Modified 10/21/21 18:41 PM
Resolution
概述
帕洛阿尔托网络设备可以选择使用用户和组来创建安全策略。检查 LDAP 组中的用户允许管理员基于组成员身份创建访问权限。
详细
设备管理员使用 LDAP 组提供基于用户的访问, 而不是 IP 地址。用户 ID 代理 (软件或硬件) 负责获取 IP 用户映射和帕洛阿尔托网络防火墙。根据 ldap 配置文件, 用户 ID 代理从 ldap 服务器读取组。这些映射存储在防火墙的 IP 用户映射表中, 组的组和成员存储在组映射列表中。
步骤
通过执行下面的步骤, 查找帕洛阿尔托网络防火墙正在从使用 LDAP 配置文件读取的组。
- 可以使用以下 CLI 命令读取每个组的列表:
>> 显示用户组列表
cn = 销售, cn = 用户, dc = al, dc = com
cn = it_development, cn = 用户, dc = al, dc = com
cn = groùpé, cn = 用户, dc = al, dc = com
cn = 域管理员, cn = 用户(dc = il, dc = al, dc = com
cn = 域来宾, cn = 用户, dc = al, dc = com
cn = 用户, dc = al, dc = comcn = 市场营销, cn = 用户, dc = al, dc = com
cn = it_operations, cn = 它, ou = 组, dc = al, dc = openldap, dc = com
cn = it_operations, ou = 组, dc = al, dc = openldap, dc = com
cn = it_operations, cn = 用户, dc = al, dc = com
cn = 域用户, cn = 用户, dc = il, dc = al, dc = com
cn = hr, cn = 用户, dc = al, dc = com
cn = 它, ou = 组, dc = al, dc = openldap, dc = com
cn = vpn_users, cn = 用户, dc = al, dc = com
cn = 域用户, cn = 用户, dc = al, dc = com - 要在上一步中使用所需的组:
>> 显示用户组名称 cn = it_operations, cn = 用户, dc = al, dc = com
源类型: 服务
来源: AD_Group_Mapping_al. com
[1] al \ 亚历克斯
[2] biljanap
[3] damem
[4] al \ ilija
[5] al \ ilijaal
[6] ristok
[7] jovan
注:从 PAN OS 6.0 开始它不会列出禁用的 AD 用户.
下面的示例显示 AD 上的 "亚历克斯" 域用户已被禁用:
- 可以使用以下 CLI 命令重置 LDAP 配置文件上的组映射:
>> 调试用户 id 重置组-映射 AD_Group_Mapping
组映射 "AD_Group_Mapping" 在 vsys1 中被标记为重置. - 当使用下面的 CLI 命令时, 它现在显示该用户不再在输出中列出:
>> 显示用户组名称 cn = it_operations, cn = 用户, dc = al, dc = com
短名称: al \ it_operations
源类型: 服务
来源: AD_Group_映射
[1] al \n biljanap
[2] damem
[3] ilija
[4] al \ ilijaal
[5] 铝 \ ristok
[6] al \ jovan
所有者: ialeksov