具有多个组映射配置文件的用户名不一致

问题

当在防火墙上配置多个组映射配置文件时, 本文讨论组映射中不一致的 "用户名" 的行为。

例如, 配置了两个组映射配置文件, 一个用于获取 "sAMaccount", 另一个用于 "userPrincipalName"。据观察, "用户名" 从 "userPrincipalName" 改为 "sAMaccount", 反之亦然.

下一节举例说明此行为:

组映射配置文件以 "sAMaccount" 填充用户名

组映射配置文件以 "userPrincipalName" 填充用户名

当前目录中有以下参数的测试用户

"userPrincipalName": 丹尼斯. lee@lab333 当地的
"sAMaccount": lab333\dlee  

用户的初始映射显示正在获取的 "userPrincipalName"

PA-VM-1> 显示用户用户 id

用户名 Vsys 组
------------------------------------------------------------------
lab333 \ 丹尼斯. 李 vsys1 cn=support-group,ou=user-groups,ou=departments,dc=lab333,dc=local


总数: 1
*: 自定义组   

使用 sAMaccount 的组的手动刷新会覆盖与 sAMaccount 的 UPN。

PA-VM-1> 调试用户 id 刷新组-映射组-映射-名称 AD-10.129.80.115-sAMaccount

PA-VM-1> 显示用户用户 id

用户名 Vsys 组
------------------------------------------------------------------
lab333\dlee vsys1 cn=support-group,ou=user-groups,ou=departments,dc=lab333,dc=local


总数: 1
*:自定义组   

解决方案

出现这种情况是因为组映射配置文件正在获取同一个组的用户, 而刷新后的配置文件会覆盖上一个映射。

如果要求对属于该组的用户具有一致的用户名属性, 建议使用单个组映射配置文件。