Nombre de usuario incoherente con varios perfiles de asignación de grupo

Nombre de usuario incoherente con varios perfiles de asignación de grupo

23983
Created On 09/26/18 13:48 PM - Last Modified 06/07/23 06:53 AM


Resolution


Problema

 

En este artículo se analiza el comportamiento de "nombre de usuario" incoherente en la asignación de grupos cuando se configuran varios perfiles de asignación de grupos en el cortafuegos.


Por ejemplo, hay dos perfiles de asignación de grupos configurados, uno para buscar el "sAMaccount" y el otro para "userPrincipalName". Se observa que el "nombre de usuario" cambia de "userPrincipalName" a "sAMaccount" y viceversa.

 

 

La siguiente sección ilustra este comportamiento con un ejemplo:


Perfil de asignación de grupo para rellenar el nombre de usuario con "sAMaccount"

 

Snip20170125_32. png

 

 

Perfil de asignación de grupo para rellenar el nombre de usuario con "userPrincipalName"

 

Snip20170125_30. png

 


Aquí un usuario de prueba con los siguientes parámetros está presente en el directorio activo

 

"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee

 

 

La asignación inicial para el usuario muestra el "userPrincipalName" que se busca

 


PA-VM-1 > Mostrar usuario usuario-IDS

nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =


total local: 1 
*: Grupo  personalizado

 

 


Una actualización manual del grupo con sAMaccount sobrescribe el UPN con el sAMaccount

 

PA-VM-1 > Debug User-ID grupo de actualización-grupo de mapeo-mapping-Name ad-10.129.80.115-sAMaccount

PA-VM-1 > Mostrar usuario usuario-IDS

nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dlee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =


total local: 1
*: Grupo  personalizado

 

 

Solución

 

Este comportamiento se ve porque el perfil de asignación de grupo está recuperando los usuarios para el mismo grupo y el último refresco de perfil sobrescribe la asignación anterior.

 

Si el requisito es tener un atributo de nombre de usuario consistente para el usuario que pertenece al grupo, se recomienda utilizar un perfil de asignación de grupo único.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpsCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language