Problema
En este artículo se analiza el comportamiento de "nombre de usuario" incoherente en la asignación de grupos cuando se configuran varios perfiles de asignación de grupos en el cortafuegos.
Por ejemplo, hay dos perfiles de asignación de grupos configurados, uno para buscar el "sAMaccount" y el otro para "userPrincipalName". Se observa que el "nombre de usuario" cambia de "userPrincipalName" a "sAMaccount" y viceversa.
La siguiente sección ilustra este comportamiento con un ejemplo:
Perfil de asignación de grupo para rellenar el nombre de usuario con "sAMaccount"
Perfil de asignación de grupo para rellenar el nombre de usuario con "userPrincipalName"
Aquí un usuario de prueba con los siguientes parámetros está presente en el directorio activo
"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee
La asignación inicial para el usuario muestra el "userPrincipalName" que se busca
PA-VM-1 > Mostrar usuario usuario-IDS
nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =
total local: 1
*: Grupo personalizado
Una actualización manual del grupo con sAMaccount sobrescribe el UPN con el sAMaccount
PA-VM-1 > Debug User-ID grupo de actualización-grupo de mapeo-mapping-Name ad-10.129.80.115-sAMaccount
PA-VM-1 > Mostrar usuario usuario-IDS
nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dlee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =
total local: 1
*: Grupo personalizado
Solución
Este comportamiento se ve porque el perfil de asignación de grupo está recuperando los usuarios para el mismo grupo y el último refresco de perfil sobrescribe la asignación anterior.
Si el requisito es tener un atributo de nombre de usuario consistente para el usuario que pertenece al grupo, se recomienda utilizar un perfil de asignación de grupo único.