Mappage de groupe UserID avec Windows 2008 Server
19720
Created On 09/25/18 19:43 PM - Last Modified 03/26/21 16:53 PM
Symptom
Une tentative de LDAP configurer, la cartographie de groupe échoue si le contrôleur de domaine 2008 ne permet pas de simples demandes LDAP de liaison. Lorsque vous tentez d’étendre l’objet racine de l’annuaire actif pour naviguer vers les groupes, le messaged’erreur : « Strong(er) authentificationrequise » est affiché.
Environment
- Serveur Windows 2008.
- LDAP Cartographies de groupe.
- Palo Alto Firewall .
- PAN-OS 7,1 et plus.
Cause
L’erreur peut se produire si le paramètre de niveau d’authentification gestionnaire par défaut du contrôleur de domaine est défini pour exiger la signature (par opposition LAN à négocier la signature) ou refuser et LM NTLM connexions. Ce paramètre est automatiquement appliqué lors de l’application du modèle de sécurité Hisecdc.inf qui applique le paramètre ci-dessus dans le Groupe Policy .
Resolution
Pour résoudre, suivez cette procédure sur le contrôleur de domaine utilisé par le firewall LDAP (profil serveur):
- Dans l’éditeur Policy d’objets de groupe, sélectionnez ce qui suit : Configuration > paramètres Windows > paramètres de sécurité > politiques locales > options de sécurité
- Dans cette section, recherchez les entrées suivantes:
- Contrôleur de domaine : LDAP Exigences de signature du serveur.
- Sécurité du réseau : exigences LDAP de signature des clients.
- Pour activer les liaisons simples, définissez les comme suit:
- Contrôleur de domaine : LDAP exigences de signature de serveur = Aucune
- Sécurité du réseau : LDAP exigences de signature des clients = Négocier
Additional Information
Remarque : La procédure fonctionnera également pour le serveur Windows 2012.