设备管理员使用 LDAP 组提供基于用户的访问, 而不是 IP 地址。用户 ID 代理 (软件或硬件) 负责获取 IP 用户映射和帕洛阿尔托网络防火墙。根据 ldap 配置文件, 用户 ID 代理从 ldap 服务器读取组。这些映射存储在防火墙的 IP 用户映射表中, 组的组和成员存储在组映射列表中。
步骤
通过执行下面的步骤, 查找帕洛阿尔托网络防火墙正在从使用 LDAP 配置文件读取的组。
可以使用以下 CLI 命令读取每个组的列表: >> 显示用户组列表
cn = 销售, cn = 用户, dc = al, dc = com cn = it_development, cn = 用户, dc = al, dc = com cn = groùpé, cn = 用户, dc = al, dc = com cn = 域管理员, cn = 用户(dc = il, dc = al, dc = com cn = 域来宾, cn = 用户, dc = al, dc = com cn = 用户, dc = al, dc = comcn = 市场营销, cn = 用户, dc = al, dc = com cn = it_operations, cn = 它, ou = 组, dc = al, dc = openldap, dc = com cn = it_operations, ou = 组, dc = al, dc = openldap, dc = com cn = it_operations, cn = 用户, dc = al, dc = com cn = 域用户, cn = 用户, dc = il, dc = al, dc = com cn = hr, cn = 用户, dc = al, dc = com cn = 它, ou = 组, dc = al, dc = openldap, dc = com cn = vpn_users, cn = 用户, dc = al, dc = com cn = 域用户, cn = 用户, dc = al, dc = com
要在上一步中使用所需的组: >> 显示用户组名称 cn = it_operations, cn = 用户, dc = al, dc = com
源类型: 服务 来源: AD_Group_Mapping_al. com [1] al \ 亚历克斯 [2] biljanap [3] damem [4] al \ ilija [5] al \ ilijaal [6] ristok [7] jovan
注:从 PAN OS 6.0 开始它不会列出禁用的 AD 用户. 下面的示例显示 AD 上的 "亚历克斯" 域用户已被禁用: