Verschachtelte Benutzergruppen inID
44951
Created On 09/25/18 19:38 PM - Last Modified 03/26/21 16:52 PM
Environment
- Jede PAN-OS .
- Palo Alto Firewall .
- Vom Benutzer ID konfiguriert.
Resolution
Übersicht
Bei Verwendung verschachtelter Benutzergruppen können die Palo Alto-Netzwerke firewall alle Benutzer innerhalb der Hauptgruppe sowie alle Benutzer innerhalb der verschachtelten Gruppe(n) zurückgeben.
Zum Beispiel, wenn die "top_level_group" zwei verschachtelte Gruppen enthält: "nested_group_1" und "nested_group2". Alle Abfragen an die top_level_group aus der firewall können auch Benutzer in den verschachtelten Gruppen zurückziehen. A Sicherheit policy kann mit dem "top_level_group" konfiguriert werden, und Benutzer aus dem "nested_group_1" und "nested_group_2" werden ebenfalls einbezogen.
Überprüfung
Der CLI Befehl"Benutzergruppenname xxx anzeigen" kann verwendet werden, um die Benutzer innerhalb der Gruppe anzuzeigen.
Die Ausgabe zeigt, dass die "top_level_group" Benutzer aus dem "nested_group_1" und "nested_group_2" enthält.
> show user group name "cn=top_level_group,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\top_level_group
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3
[4] pantac2012\panuser10
[5] pantac2012\panuser11
[6] pantac2012\panuser12 > show user group name "cn=nested_group_1,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_1
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3 > show user group name "cn=nested_group_2,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_2
source type: service
source: panlab2012
[1] pantac2012\panuser10
[2] pantac2012\panuser11
[3] pantac2012\panuser12
Additional Information
Das Abrufen AD von Gruppen schlägt fehl - geschachtelte Gruppenebene überschreitet grenzwertlich