Nom d'utilisateur incohérent avec plusieurs profils de mappage de groupe

Nom d'utilisateur incohérent avec plusieurs profils de mappage de groupe

23991
Created On 09/26/18 13:48 PM - Last Modified 06/07/23 06:53 AM


Resolution


Problème

 

Cet article traite du comportement d'un «nom d'utilisateur» incohérent dans le mappage de groupe lorsque plusieurs profils de mappage de groupe sont configurés sur le pare-feu.


Par exemple, il existe deux profils de mappage de groupe configurés, l'un pour extraire le «sAMaccount» et l'autre pour «userPrincipalName». Il est observé que le "nom d'utilisateur" passe de "userPrincipalName" à "sAMaccount" et vice-versa

.

 

 

La section suivante illustre ce comportement par un exemple:


Profil de mappage de groupe pour remplir le nom d'utilisateur avec "sAMaccount"

 

Snip20170125_32. png

 

 

Profil de mappage de groupe pour remplir le nom d'utilisateur avec "userPrincipalName"

 

Snip20170125_30. png

 


Ici, un utilisateur de test avec les paramètres suivants est présent sur Active Directory

 

"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee

 

 

Le mappage initial de l'utilisateur indique que le "userPrincipalName" est récupéré

 


PA-VM-1 > afficher l'utilisateur user-IDS

nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local


total: 1 
*: Groupe  personnalisé

 

 


Une actualisation manuelle du groupe avec sAMaccount remplace l'UPN par le sAMaccount

 

PA-VM-1 > Debug User-ID Refresh Group-Groupe de mappage-mappage-nom AD-10.129.80.115-sAMaccount

PA-VM-1 > Show utilisateur user-IDS

nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dlee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local


total: 1
*: Groupe  personnalisé

 

 

Solution

 

Ce comportement est vu parce que le profil de mappage de groupe récupère les utilisateurs pour le même groupe et que la dernière actualisation du profil remplace le mappage précédent.

 

Si l'exigence doit avoir un attribut de nom d'utilisateur cohérent pour l'utilisateur appartenant au groupe, il est conseillé d'utiliser un profil de mappage de groupe unique.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpsCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language