Grupos de usuarios anidados en user-ID
38236
Created On 09/25/18 19:38 PM - Last Modified 03/26/21 16:52 PM
Environment
- Cualquier PAN-OS archivo .
- Palo Alto Firewall .
- Usuario ID configurado.
Resolution
Visión general
Al utilizar grupos de usuarios anidados, palo alto networks firewall será capaz de devolver todos los usuarios dentro del grupo principal, junto con todos los usuarios dentro de los grupos anidados.
Por ejemplo, si el "top_level_group" contiene dos grupos anidados: "nested_group_1", y "nested_group2". Todas las consultas a la top_level_group desde el será capaz de firewall retirar a los usuarios en los grupos anidados, así. A la seguridad policy se puede configurar con el "top_level_group", y también se incluirán los usuarios del "nested_group_1" y el "nested_group_2".
Verificación
El CLI comando " show user group namexxx" se puede utilizar para mostrar a los usuarios dentro del grupo.
La salida muestra que el "top_level_group" contiene usuarios de la "nested_group_1" y "nested_group_2".
> show user group name "cn=top_level_group,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\top_level_group
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3
[4] pantac2012\panuser10
[5] pantac2012\panuser11
[6] pantac2012\panuser12
> show user group name "cn=nested_group_1,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_1
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3
> show user group name "cn=nested_group_2,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_2
source type: service
source: panlab2012
[1] pantac2012\panuser10
[2] pantac2012\panuser11
[3] pantac2012\panuser12
Additional Information
Se produce un error en la recuperación de grupos: el AD nivel de grupo anidado supera el límite