DotW: asignación de grupo de ID de usuario
Resolution
La asignación de grupos dentro del ID de usuario es una gran característica que muchos clientes utilizan para obtener la capacidad de utilizar grupos dentro de las directivas de seguridad en lugar de cuentas de usuarios individuales. La función User-ID es capaz de lograrlo comunicándolo a un servidor de Active Directory de Microsoft
o eDirectory Server usando LDAP (default Port 389).
User-ID se puede utilizar una de dos maneras:
- Agente: un software de agente que tiene que ejecutarse en un servidor Windows que se comunica con el servidor de directorios.
- Sin agente: el cortafuegos se comunica directamente con el servidor de directorios.
Esto puede ser una configuración simple, pero a menudo surgen cosas que pueden causar problemas. De forma predeterminada, se utiliza la dirección IP de administración para comunicarse con el servidor de directorios. Al utilizar la IP de administración, no se necesitan reglas de seguridad adicionales. Si no desea utilizar la IP de administración, pero en su lugar desea utilizar otra interfaz, es necesario cambiar las "rutas de servicio".
Esto se puede configurar en el interior de la WebGUI > dispositivo > configuración > servicios Tab y haga clic en "servicio de configuración de la ruta" en "servicios de características".
Para obtener más información sobre la configuración de la ruta de servicio, consulte las siguientes guías de administración para obtener más información:
- Guía del administrador de PAN OS 5.0 (Inglés)
- Guía del administrador de PAN OS 6.0 (Inglés)
- Guía del administrador de PAN-OS 7.0
En la discusión de la semana, el usuario ' Satish ' está utilizando el ID de usuario sin agente y estaba obteniendo un "error interno" al intentar comunicarse con su servidor de Active Directory de Microsoft, ya que el Firewall no era capaz de hablar con el servidor de directorios.
La raíz del problema era que sus rutas de servicio no estaban correctamente configuradas y estaba utilizando la contraseña incorrecta para la cuenta necesaria para tener acceso al servidor de Active Directory de Microsoft.
Para ver la discusión completa, haga referencia al siguiente vínculo: discusión de problema de asignación de grupos
Si usted tiene cualesquiera preguntas, comentarios o regeneración, por favor déjelos abajo.
Gracias por leerme,
Joe Delio