DotW: User-ID-Gruppen Mappe
Resolution
Die Gruppen Kartierung innerhalb der User-ID ist ein großartiges Feature, das viele Kunden nutzen, um die Möglichkeit zu gewinnen, Gruppen innerhalb der Sicherheitsrichtlinien zu nutzen, anstatt einzelne Benutzerkonten zu verwenden. Die User-ID-Funktion ist in der Lage, dies durch die Kommunikation mit einem Microsoft Active Directory Server zu erreichen.
oder eDirectory-Server mit LDAP (Standard-Port 389).
User-ID kann auf zwei Arten verwendet werden:
- Agent-eine Agent-Software, die auf einem Windows-Server laufen muss, der mit dem Verzeichnisserver kommuniziert.
- Agentless-die Firewall kommuniziert direkt mit dem Verzeichnisserver.
Das kann eine einfache Konfiguration sein, aber oft entstehen Dinge, die Probleme verursachen können. Standardmäßig verwenden Sie die Management-IP-Adresse, um mit dem Verzeichnisserver zu kommunizieren. Durch die Nutzung der Management-IP sind keine zusätzlichen Sicherheitsregeln erforderlich. Wenn Sie nicht die Management-IP-Adresse verwenden wollen, sondern eine andere Schnittstelle nutzen möchten, dann müssten die "Service-Routen" geändert werden.
Dies kann innerhalb der Registerkarte WebGUI > Device > Setup > Services konfiguriert werden und unter "Services-Funktionen" auf "Service Route Configuration" klicken.
Für weitere Informationen über die Konfiguration des Service-Routen, verweisen Sie auf die folgenden admin-Guides für weitere Informationen:
- Administratorhandbuch des PAN-OS 5.0 (Englisch)
- Administratorhandbuch des PAN-OS 6.0 (Englisch)
- Administratorhandbuch des PAN-OS 7.0
In der Diskussion der Woche verwendet User ' Satish ' eine Agenten lose User-ID und bekam einen "internen Fehler", wenn er versuchte, mit seinem Microsoft Active Directory Server zu kommunizieren, da die Firewall nicht in der Lage war, mit dem Verzeichnisserver zu sprechen.
Die Wurzel des Problems war, dass seine Service-Routen nicht richtig konfiguriert waren und er das falsche Passwort für das Konto benutzte, das für den Zugriff auf den Microsoft Active Directory Server benötigt wurde.
Um die gesamte Diskussion zu sehen, verweisen Sie auf den folgenden Link: Gruppen -Mapping-Themen Diskussion
Wenn Sie Fragen, Kommentare oder Feedback haben, lassen Sie Sie bitte unten.
Danke fürs Lesen,
Joe Delio