問題
この資料では、ファイアウォールで複数のグループマッピングプロファイルが構成されている場合に、グループマッピングで不整合な "ユーザー名" の動作について説明します。
たとえば、2つのグループマッピングプロファイルが構成されており、"sAMaccount" と "userPrincipalName" のフェッチ用に1つあります。「ユーザ名」が「userPrincipalName」から「sAMaccount」に変わり
、その逆も見られます。
次のセクションでは、この動作を例として示します。
ユーザー名を "sAMaccount" に設定するためのグループマッピングプロファイル
ユーザー名を "userPrincipalName" に設定するためのグループマッピングプロファイル
ここでは、次のパラメータを持つテストユーザがアクティブディレクトリに存在します。
"userPrincipalName": デニス・リー @ lab333 ローカル
"sAMaccount": lab333\dlee
ユーザーの最初のマッピングは、 フェッチされている "userPrincipalName"を示しています
PA-VM-1 > ユーザーユーザー id を表示するユーザー
名 Vsys グループ
------------------------------------------------------------------
lab333\dennis.lee vsys1 cn = サポートグループ、ou = ユーザーグループ、ou = 部署、dc = lab333、dc = ローカル
合計: 1
*: カスタムグループ
sAMaccount を使用してグループを手動で更新すると、UPN が sAMaccount に上書きされます。
PA-VM-1 > デバッグユーザー id の更新グループ-マッピンググループ-マッピング-名前の AD-10.129.80.115-sAMaccount
PA-VM-1 > ユーザーユーザー id を表示するユーザー
名 Vsys グループ
------------------------------------------------------------------
lab333\dlee vsys1 cn = サポートグループ、ou = ユーザーグループ、ou = 部署、dc = lab333、dc = ローカル
合計: 1
*:カスタムグループ
ソリューション
この動作は、グループマッピングプロファイルが同じグループのユーザーをフェッチしていて、最後に更新されたプロファイルが前回のマッピングを上書きするために発生します。
グループに属するユーザーに対して一貫性のあるユーザー名属性を持つ必要がある場合は、単一のグループマッピングプロファイルを使用することをお勧めします。