Cómo recuperar varios nombres de usuario "atributos para el mismo usuario con asignación de grupo"

Cómo recuperar varios nombres de usuario "atributos para el mismo usuario con asignación de grupo"

27987
Created On 09/26/18 13:48 PM - Last Modified 12/07/22 02:33 AM


Resolution


Requisito


En este artículo se analiza la recuperación de varios atributos de "nombre de usuario" para el mismo usuario mientras se recuperan las asignaciones de grupo de Active Directory.

 

Consulte el artículo siguiente que analiza el comportamiento cuando se utilizan varios perfiles de asignación de grupos para obtener los atributos de "nombre de usuario" diferentes para el usuario que pertenezca al mismo grupo de usuarios:


Nombre de usuario incoherente con varios perfiles de asignación de grupo

 

Como se ha comentado en el artículo anterior, el atributo "nombre de usuario" de un usuario puede sobrescribirse mediante el perfil de asignación de grupo refrescar último.


En varios escenarios prácticos, puede ser necesario obtener diferentes atributos de "nombre de usuario" para el mismo usuario como "userPrincipalName", "sAMaccount", "E-mail", etc. que se usarán para la autenticación y autorización.


Por ejemplo, es posible que los usuarios que inicien sesión en su estación de trabajo tengan que autenticarse/autorizarse con "sAMaccount" mientras que el usuario de protección global puede requerir el "userPrincipalName" para el mismo.

 

 

Solución


La recuperación de los diferentes atributos de "nombre de usuario" para el mismo usuario se puede lograr utilizando diferentes grupos para el usuario y configurando
los perfiles de asignación de grupo para utilizar la opción "incluir grupos" .


Esta opción ayuda a filtrar los grupos y recuperar el atributo "nombre de usuario" que lo protege de ser sobrescrito.


La siguiente sección describe la solución anterior con un ejemplo, donde el usuario "Dennis Lee" pertenece a dos grupos,
"grupo de Marketing" y "grupo de apoyo"

 

 
A continuación se muestran los parámetros "nombre de usuario" del usuario tal como se configura en Active Directory:

 


"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee

 


Se utilizan dos perfiles de asignación de grupos con la opción "include groups" :

 

1. Perfil de asignación de grupo 1: recupera el "sAMaccount" :

 

Snip20170130_11. pngSnip20170130_13. png

 

 

 

 

2. Perfil de asignación de grupo 2: recupera el "userPrincipalName" :

 

 

Snip20170130_10. pngSnip20170130_9. png

 

 

 

 

Los parámetros "userPrincipalName" y "sAMaccount" se recuperan con éxito:

 


PA-VM-1 > Mostrar usuario usuario-IDS

nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dlee vsys1 CN = Marketing-Grupo, ou = grupos de usuarios, ou = departments, DC = lab333, DC = local 
lab333 \ Dennis. Lee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =


total local: 3
*: grupo  personalizado

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clp7CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language