Groupes d’utilisateurs imbriqués dans user-ID
44957
Created On 09/25/18 19:38 PM - Last Modified 03/26/21 16:52 PM
Environment
- Tout PAN-OS .
- Palo Alto Firewall .
- Utilisateur ID configuré.
Resolution
Vue d’ensemble
Lors de l’utilisation de groupes d’utilisateurs imbriqués, les réseaux Palo Alto seront en mesure de renvoyer tous les utilisateurs au sein du groupe principal, ainsi que firewall tous les utilisateurs du groupe imbriqué.
Par exemple, si le "top_level_group" contient deux groupes imbriqués: "nested_group_1" et "nested_group2". Toutes les requêtes à la top_level_group de la firewall sera en mesure de retirer les utilisateurs dans les groupes imbriqués ainsi. A la policy sécurité peut être configurée avec le « top_level_group », et les utilisateurs des « nested_group_1 » et « nested_group_2 » seront également inclus.
Vérification
La CLI commande " afficher le nom du grouped’utilisateurs xxx " peut être utilisée pour afficher les utilisateurs au sein du groupe.
La sortie montre que le « top_level_group » contient des utilisateurs de la « nested_group_1 » et « nested_group_2 ».
> show user group name "cn=top_level_group,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\top_level_group
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3
[4] pantac2012\panuser10
[5] pantac2012\panuser11
[6] pantac2012\panuser12 > show user group name "cn=nested_group_1,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_1
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3 > show user group name "cn=nested_group_2,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_2
source type: service
source: panlab2012
[1] pantac2012\panuser10
[2] pantac2012\panuser11
[3] pantac2012\panuser12
Additional Information
Les groupes de récupération AD échouent - le niveau de groupe imbriqué dépasse la limite