AD グループの取得に失敗しました-入れ子になったグループレベルが制限を超えています
28253
Created On 09/25/18 19:44 PM - Last Modified 06/08/23 03:11 AM
Resolution
この資料では、ネストされたグループレベルが制限を 超えた場合に失敗したグループの取得について説明します。
次のログは、ネストされたグループレベルの制限を超えたことを示すuseriddに表示されます。
2017-07-14 00:06: 07.109-0400 警告: pan_ldap_ctrl_query_single_included_group (pan_ldap_ctrl c:3491):ネストされたグループレベル (11) は、グループ ' cn = testdev、ou = グループ、ou = 部、dc = d2-部、dc = com ' の制限 (10) を超えています
回避策
入れ子になったグループの既定の設定は10で、構成によって20に増やすことができますが、以下のコマンドを参照してください。
> ネストされたグループ
<group-mapping name="">レベル 20 </group-mapping>のグループマッピングの設定
例えば:
# セットグループ-マッピング "テスト" ネストされたグループレベル20
ネストされたグループレベルを20にインクリメントする回避策を使用する場合は、アクティブディレクトリの構成を確認して、20の制限が違反しないようにすることをお勧めします。
注意:これは configure コマンドであるため、コミットは必要ありません。