Verwenden von mehr als vier LDAP Servern in einer Palo Alto-Netzwerkkonfiguration
Symptom
Es gibt eine begrenzte Anzahl von LDAP Servern, die auf einem LDAP Profil in Palo Alto Networks-Assets konfiguriert werden können. Vier LDAP Server werden in einem Profil LDAP unterstützt.
Environment
- NGFW
- LDAP
- LDAP Profil
- Authentifizierungsprofil
Cause
In der Regel sind vier LDAP Server mehr als genug, um alle Benutzer in der Domäne zu authentifizieren und Redundanz für den Fall bereitzustellen, dass ein LDAP Server ausfällt. Manchmal verfügen größere Unternehmen über mehr als vier LDAP Server mit verteilten Umgebungen, in denen Benutzer eine Verbindung zu dedizierten LDAP Servern herstellen. Benutzer können sich an LDAP Server wenden, die nicht zu den vier Servern gehören, und versuchen, sich bei ihnen zu authentifizieren.
Wenn Sie vier LDAP Server im Profil hinzufügen LDAP (unter Device > Serverprofiles > LDAP) wird die Schaltfläche "Plus" ausgegraut, und es ist nicht möglich, weitere Server im Profil hinzuzufügen.
Resolution
Diese Einschränkung für die Authentifizierung mit nur vier LDAP Servern kann mit der Verwendung eines anderen Profils, das den Rest der Server umfasst, überwunden LDAP LDAP werden. Zum Beispiel:
- Unter Device > Authentication Profile create Authentifizierungsprofile für beide LDAP Profile,
NOTE:
Authentifizierungsprofile können in einer Authentifizierungssequenz kombiniert werden. Wenn ein Benutzer nicht auf einem der LDAP Server im ersten Authentifizierungsprofil gefunden wird, wird der nächste Benutzer versucht, was zu einem erfolgreichen Authentifizierungsversuch als Ganzes auf der führen firewall sollte.
Dies ist unter Device > Authentication Sequence konfiguriert:
Diese Sequenz kann nun für jeden Zweck verwendet werden, z. GlobalProtect B. für die Authentifizierung: