防火墙没有用 OU 检索 LDAP 服务器配置文件库的用户名
Resolution
症状
当使用 ou (组织单位) 作为 LDAP 服务器配置文件基础 (例如: OU = 亚太地区、dc = sub、dc = 示例、dc = com) 时, 只有组由帕洛阿尔托网络防火墙知道。不检索用户名。
下面是 LDAP 服务器配置文件配置的示例:
原因
如果在 ldap 服务器配置文件基设置中使用 OU 的位置不在 ldap 树的点处, 则可以在其中搜索组和用户名, 从而出现此问题。
解决办法
对于 LDAP 服务器配置文件基础设置, 建议使用域的 dc 组件 (例如: dc = sub、dc = 示例、dc = com), 以便
它的树中的条目是可搜索的。
下面是 LDAP 树示例:
com (dc)
|---示例 (dc)
|---子 (dc)
|---用户 (ou)
|---亚太地区 (ou)
| |---新加坡 (cn)
|---EMEA (ou)
| |---布鲁塞尔 (cn)
|---南 (ou)
| |---圣克拉拉 (cn)
如果在上面的用户中定义了所有用户, 则 "ou = 用户、dc = sub、dc = 示例、dc = com" 的 LDAP 服务器配置文件基础设置可以搜索和检索组和用户。
WebGUI 上的 LDAP 服务器配置文件基础设置位于设备 > 服务器配置文件 > ldap-ldap 服务器配置文件 > 基础上。如果该基设置为 "ou = 亚太地区、dc = sub、dc = 示例、dc = com", 则只有在 "亚太地区" 下的组才能在防火墙上可见。用户不可见, 因为它们是在 OU "用户" 下定义的, 并且不能通过基设置进行搜索。
解决方法
解决方法是在基的 OU 下定义用户名。
注意:使用空格的 OU 工作正常. 但是, 强烈建议避免使用空格的 LDAP 项目。而不是使用 "圣克拉拉" 使用 "圣诞老人克拉拉" 或 "Santa_Clara" 的统一性。
要列出可用组的 CLI 命令:
>> 显示用户组映射状态<group mapping="" name=""></group>
要在组中显示用户名的 CLI 命令:
>> 显示用户组名称<domain\group></domain\group>
所有者: jlunario