Los nombres de usuario no recuperados por el cortafuegos con ou para la base de perfil del servidor LDAP

Los nombres de usuario no recuperados por el cortafuegos con ou para la base de perfil del servidor LDAP

27310
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 07:17 AM


Resolution


Síntoma

Cuando se utiliza ou (unidad organizativa) como base de perfil del servidor LDAP (por ejemplo: ou = APAC, DC = sub, DC = example, DC = com), sólo los grupos son conocidos por el cortafuegos de Palo Alto Networks. Los nombres de usuario no se recuperan.

 

A continuación se muestra una configuración de Perfil de servidor LDAP:

LDAP_Server_Profile_Base. png

 

Causa

El problema puede ocurrir si la unidad organizativa se utiliza en la configuración de base de perfil del servidor LDAP no está en el punto del árbol LDAP, donde se pueden buscar los grupos y los nombres de usuario.

 

Resolución

Para la configuración de la base del perfil del servidor LDAP, se recomienda utilizar el componente DC del dominio (por ejemplo: DC = sub, DC = example, DC = com), de modo que el

las entradas dentro de su árbol son buscables.

 

A continuación se muestra un árbol LDAP de ejemplo:

com (c.c.)

|---ejemplo (DC)

      |---Sub (DC)

            | usUarios de---(OU)

            |---APAC (OU)

            |    |---Singapur (CN)

            |---EMEA (OU)

            |    |---Bruselas (CN)

            |---Nam (OU)

            |    |---Santa-Clara (CN)

 

Si todos los usuarios se definen bajo los usuarios anteriores, el ajuste de base de perfil del servidor LDAP de "ou = users, DC = sub, DC = example, DC = com" puede buscar y recuperar tanto grupos como usuarios.

 

El valor de la base del perfil del servidor LDAP en el webgui está bajo dispositivo > perfiles de servidor > LDAP > perfil del servidor LDAP > base. Si la base está establecida en "ou = APAC, DC = sub, DC = example, DC = com", sólo el grupo bajo APAC es visible en el cortafuegos. Los usuarios no son visibles porque se definen bajo la ou "Users" y no se pueden buscar mediante la configuración base.

 

Solución alternativa

Una solución alternativa es tener los nombres de usuario definidos bajo la unidad organizativa de la base.

Nota: ou con Spaces Works. Sin embargo, es muy recomendable evitar los elementos LDAP con espacios. En lugar de usar "Santa Clara" use "Santa-Clara" o "Santa_Clara" para uniformidad.

 

El comando CLI para enumerar los grupos disponibles:

> Mostrar estado de asignación de grupos de usuarios<group mapping="" name=""></group>

 

El comando CLI para mostrar nombres de usuario dentro de un grupo:

> Mostrar nombre de grupo de usuarios<domain\group></domain\group>

 

Propietario: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clr3CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language