Noms d'utilisateur non récupérés par le pare-feu avec UO pour la base de profils LDAP Server

Noms d'utilisateur non récupérés par le pare-feu avec UO pour la base de profils LDAP Server

27318
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 07:17 AM


Resolution


Symptôme

Lors de l'utilisation d'UO (unité d'organisation) comme base de profil de serveur LDAP (par exemple: ou = APAC, DC = Sub, DC = example, DC = com), seuls les groupes sont connus par le pare-feu de Palo Alto Networks. Les noms d'utilisateur ne sont pas récupérés.

 

Voici un exemple de configuration de profil de serveur LDAP:

LDAP_Server_Profile_Base. png

 

Cause

Le problème peut se produire si l'UO est utilisée dans les paramètres de base du profil serveur LDAP n'est pas au point de l'arborescence LDAP, où les deux groupes et les noms d'utilisateur sont consultables.

 

Résolution

Pour les paramètres de base du profil serveur LDAP, nous recommandons d'utiliser le composant DC du domaine (par exemple: DC = Sub, DC = example, DC = com), de sorte que le

les entrées dans son arborescence sont consultables.

 

Ce qui suit est un exemple d'arborescence LDAP:

com (DC)

|---exemple (DC)

      |---Sub (DC)

            |---utilisateurs (UO)

            |---APAC (UO)

            |    |---Singapour (CN)

            |---EMEA (UO)

            |    |---Bruxelles (CN)

            |---Nam (UO)

            |    |---Santa-Clara (CN)

 

Si tous les utilisateurs sont définis sous les utilisateurs ci-dessus, le paramètre de base de profil de serveur LDAP «ou = Users, DC = Sub, DC = example, DC = com» peut rechercher et récupérer les deux groupes et les utilisateurs.

 

Le paramètre de base du profil serveur LDAP sur le WebGUI est sous Device > Server profils > LDAP > LDAP Server Profile > base. Si la base a la valeur "ou = APAC, DC = Sub, DC = example, DC = com", seul le groupe sous APAC est visible sur le pare-feu. Les utilisateurs ne sont pas visibles car ils sont définis sous l'unité d'organisation "utilisateurs" et ne sont pas consultables par le paramètre de base.

 

Pour résoudre ce problème

Une solution consiste à avoir les noms d'utilisateur définis sous l'unité d'organisation de la base.

Remarque: l' UO avec des espaces fonctionne. Cependant, il est fortement recommandé d'éviter les éléments LDAP avec des espaces. Au lieu d'utiliser "Santa Clara" utilisez "Santa-Clara" ou "Santa_Clara" pour l'uniformité.

 

La commande CLI pour répertorier les groupes disponibles:

> afficher le groupe d'utilisateurs-état de mappage<group mapping="" name=""></group>

 

La commande CLI pour afficher les noms d'utilisateur au sein d'un groupe:

> afficher le nom du groupe d'utilisateurs<domain\group></domain\group>

 

propriétaire : jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clr3CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language