En este artículo se analiza la recuperación de grupos de Active Directory que fallan si el nivel de grupo anidado excede el límite.
El siguiente registro se puede ver en el identificador de usuario. log que indica que se ha superado el límite de nivel de grupo anidado:
2017-07-14 00:06:07.109-0400 ADVERTENCIA: pan_ldap_ctrl_query_single_included_group (pan_ldap_ctrl. c:3491): el nivel de grupo anidado (11) excede el límite (10) para el grupo ' CN = testdev, ou = Groups, ou = Dept, DC = D2-Dept, DC = com '
Solución alternativa
La configuración predeterminada para los grupos anidados es 10 que se puede aumentar en la configuración de 20, por favor, vea el siguiente comando:
> configure
# set grupo-mapping <group-mapping name="">anidado-grupo-nivel 20</group-mapping>
Por ejemplo:
# Set grupo-mapping "Test" anidado-grupo-nivel 20
Si se utiliza la solución para incrementar el nivel de grupo anidado en 20, se recomienda que se revise la configuración de Active Directory para asegurarse de que el límite de 20 no se incumple, lo que puede causar más problemas con la extracción de los grupos.
Nota: dado que se trata de un comando configure, no se necesita ninguna confirmación.