Inkonsequenter Benutzer Name mit mehreren Gruppen-Mapping-Profilen

Inkonsequenter Benutzer Name mit mehreren Gruppen-Mapping-Profilen

23985
Created On 09/26/18 13:48 PM - Last Modified 06/07/23 06:53 AM


Resolution


Problem

 

In diesem Artikel wird das Verhalten des inkonsistenten "Benutzernamens" in der Gruppen Kartierung diskutiert, wenn mehrere Gruppen-Mapping-Profile auf der Firewall konfiguriert werden.


Zum Beispiel sind zwei Gruppen-Mapping-Profile konfiguriert, eines für die Abholung des "samaccount" und das andere für "UserPrincipalName". Es wird beobachtet, dass sich der "Benutzername" von "UserPrincipalName" auf "samaccount" und umgekehrt ändert.

 

 

Der folgende Abschnitt veranschaulicht dieses Verhalten mit einem Beispiel:


Gruppen-Mapping-Profil, um Benutzernamen mit "samaccount" zu bevölkern

 

Snip20170125_32. png

 

 

Gruppen-Mapping-Profil, um Benutzernamen mit "UserPrincipalName" zu bevölkern

 

Snip20170125_30. png

 


Hier ist ein Test Benutzer mit folgenden Parametern auf dem aktiven Verzeichnis vorhanden.

 

"UserPrincipalName": Dennis. Lee @ lab333. lokales
"samaccount": lab333\dlee

 

 

Die erste Kartierung für den Benutzer zeigt den "UserPrincipalName", der abgeholt wird

 


PA-VM-1 > Benutzer Benutzer anzeigen-IDs

Benutzer Name Vsys
-Gruppen------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = Support-Gruppe, ou = User-Groups, ou = Abteilungen, DC = lab333, DC = local


Total: 1 
*: Custom Group

 

 


Eine manuelle Auffrischung der Gruppe mit samaccount überschreibt die UPN mit dem samaccount

 

PA-VM-1 > Debug-Benutzer-ID-Refresh-Gruppe-Mapping-Gruppe-Mapping-Name AD-10.129.80.115-samaccount

PA-VM-1 > Benutzer Benutzer anzeigen-IDs

Benutzer Name Vsys Gruppen
------------------------------------------------------------------
lab333\dlee vsys1 CN = Support-Gruppe, ou = User-Groups, ou = Departements, DC = lab333, DC = local


Total: 1
*: Custom Group

 

 

Lösung

 

Dieses Verhalten wird gesehen, weil das Gruppen-Mapping-Profil die Benutzer für die gleiche Gruppe holt und das Profil erfrischend zuletzt die vorherige Kartierung überschreibt.

 

Wenn es darum geht, ein konsistentes Benutzernamen-Attribut für den Benutzer der Gruppe zu haben, ist es ratsam, ein einzelnes Gruppen-Mapping-Profil zu verwenden.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpsCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language