嵌套用户组-ID
44906
Created On 09/25/18 19:38 PM - Last Modified 03/26/21 16:52 PM
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- 用户 ID 配置。
Resolution
概述
使用嵌套用户组时,Palo Alto 网络 firewall 将能够返回主组内的所有用户以及嵌套组中的所有用户。
例如, 如果 "top_level_group" 包含两个嵌套组: "nested_group_1" 和 "nested_group2"。 从top_level_group的所有查询 firewall 都能够拉回嵌套组中的用户。 A 安全 policy 性可配置为"top_level_group",还将包括"nested_group_1"和"nested_group_2"的用户。
验证
CLI命令"显示用户组名 xxx"可用于显示组内的用户。
输出显示,"top_level_group"包含来自"nested_group_1"和"nested_group_2"的用户。
> show user group name "cn=top_level_group,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\top_level_group
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3
[4] pantac2012\panuser10
[5] pantac2012\panuser11
[6] pantac2012\panuser12 > show user group name "cn=nested_group_1,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_1
source type: service
source: panlab2012
[1] pantac2012\panuser1
[2] pantac2012\panuser2
[3] pantac2012\panuser3 > show user group name "cn=nested_group_2,cn=users,dc=pantac2012,dc=gcs,dc=paloaltonetworks,dc=com"
short name: pantac2012\nested_group_2
source type: service
source: panlab2012
[1] pantac2012\panuser10
[2] pantac2012\panuser11
[3] pantac2012\panuser12