Benutzernamen, die nicht von der Firewall mit OU für LDAP-Server-Profil Basis abgerufen werden

Benutzernamen, die nicht von der Firewall mit OU für LDAP-Server-Profil Basis abgerufen werden

27328
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 07:17 AM


Resolution


Symptom

Bei der Verwendung von ou (Organisationseinheit) als LDAP-Server-Profil Basis (zum Beispiel: ou = APAC, DC = Sub, DC = Beispiel, DC = com) sind nur die Gruppen durch die Palo Alto Networks Firewall bekannt. Die Benutzernamen werden nicht abgerufen.

 

Das folgende ist ein Beispiel für LDAP-Server-Profil Konfiguration:

LDAP_Server_Profile_Base. png

 

Ursache

Das Problem kann auftreten, wenn die OU in der LDAP-Server-Profil Basis-Einstellungen verwendet wird, ist nicht an der Stelle des LDAP-Baums, wo beide Gruppen und Benutzernamen durchsuchbar sind.

 

Lösung

Für die LDAP-Server-Profil Basis-Einstellungen empfehlen wir die Verwendung der DC-Komponente der Domain (zum Beispiel: DC = Sub, DC = Beispiel, DC = com), so dass die

Einträge innerhalb des Baumes sind recherchierbar.

 

Im folgenden ist ein Beispiel LDAP-Baum:

KOM (DC)

|---Beispiel (DC)

      |---Sub (DC)

            |---Users (OU)

            |---APAC (OU)

            |    |---Singapore (CN)

            |---EMEA (OU)

            |    |---Brüssel (CN)

            |---Nam (OU)

            |    |---Santa-Clara (CN)

 

Wenn alle Benutzer unter den oben genannten Benutzern definiert sind, kann die LDAP-Server-Profil Basis-Einstellung von "ou = users, DC = Sub, DC = Beispiel, DC = com" sowohl Gruppen als auch Benutzer suchen und abrufen.

 

Die LDAP-Server-Profil Basis-Einstellung auf dem WebGui befindet sich unter Device > Server-Profilen > LDAP > LDAP Server Profile > Base. Wenn die Basis auf "ou = APAC, DC = Sub, DC = Beispiel, DC = com" gesetzt ist, ist nur die Gruppe unter APAC auf der Firewall zu sehen. Die Benutzer sind nicht sichtbar, weil Sie unter den ou "Users" definiert sind und nicht durch die Basis Einstellung durchsuchbar sind.

 

Dieses Problem zu umgehen

Ein Workaround ist es, die Benutzernamen unter der OU der Basis definieren zu lassen.

Anmerkung: OU mit Leerzeichen funktioniert. Es wird jedoch dringend empfohlen, LDAP-Elemente mit Leerzeichen zu vermeiden. Statt "Santa Clara" verwenden Sie "Santa-Clara" oder "Santa_Clara" für Uniformität.

 

Der CLI-Befehl zur Auflistung verfügbarer Gruppen:

> Benutzergruppe anzeigen-Mapping State<group mapping="" name=""></group>

 

Der CLI-Befehl, um Benutzernamen innerhalb einer Gruppe anzuzeigen:

> Benutzergruppen Name anzeigen<domain\group></domain\group>

 

Besitzer: Jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clr3CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language