LDAP サーバープロファイルベースの OU を使用してファイアウォールによって取得されないユーザー名
Resolution
問題の状況
LDAP サーバープロファイルベースとして ou (組織単位) を使用する場合 (たとえば、ou = アジア太平洋地域、dc = sub、dc = 例、dc = com)、グループのみがパロアルトネットワークファイアウォールによって認識されます。ユーザー名は取得されません。
LDAP サーバプロファイルのコンフィグレーションの例を次に示します。
原因
この問題は、ldap サーバプロファイルベース設定で OU が使用されている場合に、ldap ツリーのポイントではなく、グループとユーザ名の両方が検索可能である場合に発生する可能性があります。
解決方法
LDAP サーバープロファイルの基本設定では、ドメインの dc コンポーネント (dc = sub、dc = 例、dc = com など) を使用することをお勧めします。
ツリー内のエントリは検索可能です。
LDAP ツリーの例を次に示します。
com (dc)
|---例 (dc)
|---サブ (dc)
|---ユーザー (ou)
|---アジア太平洋地域 (ou)
| |---シンガポール (cn)
|---EMEA (ou)
| |---ブリュッセル (cn)
|---ナム (ou)
| |---サンタクララ (cn)
すべてのユーザーが上記のユーザーで定義されている場合は、LDAP サーバープロファイルの基本設定 "ou = users、dc = sub、dc = 例、dc = com" は、グループとユーザーの両方を検索および取得できます。
WebGUI の ldap サーバプロファイルベース設定は、デバイス > サーバプロファイル > ldap > ldap サーバプロファイル > ベースの下にあります。ベースが "ou = アジア太平洋地域、dc = sub、dc = 例、dc = com" に設定されている場合、アジア太平洋地域のグループのみがファイアウォール上に表示されます。ユーザーは OU の "ユーザー" の下で定義されており、基本設定では検索できないため、表示されません。
回避策
回避策として、ベースの OU の下にユーザー名を定義する方法があります。
メモ:スペースのある OU は動作します。ただし、スペースがある LDAP アイテムを避けることを強くお勧めします。代わりに "サンタクララ" を使用して "サンタクララ" または均一性のための "Santa_Clara"。
使用可能なグループを一覧表示する CLI コマンド:
> ユーザーグループのマッピング状態の表示<group mapping="" name=""></group>
グループ内のユーザ名を表示する CLI コマンド:
> ユーザーグループ名の表示<domain\group></domain\group>
所有者: jlunario