Symptôme
Lors de l'utilisation d'UO (unité d'organisation) comme base de profil de serveur LDAP (par exemple: ou = APAC, DC = Sub, DC = example, DC = com), seuls les groupes sont connus par le pare-feu de Palo Alto Networks. Les noms d'utilisateur ne sont pas récupérés.
Voici un exemple de configuration de profil de serveur LDAP:

Cause
Le problème peut se produire si l'UO est utilisée dans les paramètres de base du profil serveur LDAP n'est pas au point de l'arborescence LDAP, où les deux groupes et les noms d'utilisateur sont consultables.
Résolution
Pour les paramètres de base du profil serveur LDAP, nous recommandons d'utiliser le composant DC du domaine (par exemple: DC = Sub, DC = example, DC = com), de sorte que le
les entrées dans son arborescence sont consultables.
Ce qui suit est un exemple d'arborescence LDAP:
com (DC)
|---exemple (DC)
|---Sub (DC)
|---utilisateurs (UO)
|---APAC (UO)
| |---Singapour (CN)
|---EMEA (UO)
| |---Bruxelles (CN)
|---Nam (UO)
| |---Santa-Clara (CN)
Si tous les utilisateurs sont définis sous les utilisateurs ci-dessus, le paramètre de base de profil de serveur LDAP «ou = Users, DC = Sub, DC = example, DC = com» peut rechercher et récupérer les deux groupes et les utilisateurs.
Le paramètre de base du profil serveur LDAP sur le WebGUI est sous Device > Server profils > LDAP > LDAP Server Profile > base. Si la base a la valeur "ou = APAC, DC = Sub, DC = example, DC = com", seul le groupe sous APAC est visible sur le pare-feu. Les utilisateurs ne sont pas visibles car ils sont définis sous l'unité d'organisation "utilisateurs" et ne sont pas consultables par le paramètre de base.
Pour résoudre ce problème
Une solution consiste à avoir les noms d'utilisateur définis sous l'unité d'organisation de la base.
Remarque: l' UO avec des espaces fonctionne. Cependant, il est fortement recommandé d'éviter les éléments LDAP avec des espaces. Au lieu d'utiliser "Santa Clara" utilisez "Santa-Clara" ou "Santa_Clara" pour l'uniformité.
La commande CLI pour répertorier les groupes disponibles:
> afficher le groupe d'utilisateurs-état de mappage<group mapping="" name=""></group>
La commande CLI pour afficher les noms d'utilisateur au sein d'un groupe:
> afficher le nom du groupe d'utilisateurs<domain\group></domain\group>
propriétaire : jlunario