问题
当在防火墙上配置多个组映射配置文件时, 本文讨论组映射中不一致的 "用户名" 的行为。
例如, 配置了两个组映射配置文件, 一个用于获取 "sAMaccount", 另一个用于 "userPrincipalName"。据观察, "用户名" 从 "userPrincipalName" 改为 "sAMaccount", 反之亦然.
下一节举例说明此行为:
组映射配置文件以 "sAMaccount" 填充用户名
组映射配置文件以 "userPrincipalName" 填充用户名
当前目录中有以下参数的测试用户
"userPrincipalName": 丹尼斯. lee@lab333 当地的
"sAMaccount": lab333\dlee
用户的初始映射显示正在获取的 "userPrincipalName"
PA-VM-1> 显示用户用户 id
用户名 Vsys 组
------------------------------------------------------------------
lab333 \ 丹尼斯. 李 vsys1 cn=support-group,ou=user-groups,ou=departments,dc=lab333,dc=local
总数: 1
*: 自定义组
使用 sAMaccount 的组的手动刷新会覆盖与 sAMaccount 的 UPN。
PA-VM-1> 调试用户 id 刷新组-映射组-映射-名称 AD-10.129.80.115-sAMaccount
PA-VM-1> 显示用户用户 id
用户名 Vsys 组
------------------------------------------------------------------
lab333\dlee vsys1 cn=support-group,ou=user-groups,ou=departments,dc=lab333,dc=local
总数: 1
*:自定义组
解决方案
出现这种情况是因为组映射配置文件正在获取同一个组的用户, 而刷新后的配置文件会覆盖上一个映射。
如果要求对属于该组的用户具有一致的用户名属性, 建议使用单个组映射配置文件。