Cómo utilizar más de cuatro LDAP servidores en una configuración de redes de Palo Alto
Symptom
Hay un número limitado de LDAP servidores que se pueden configurar en un perfil en los activos de Palo Alto LDAP Networks. Cuatro LDAP servidores son compatibles con un LDAP perfil.
Environment
- NGFW
- LDAP
- LDAP Perfil
- Perfil de autenticación
Cause
Normalmente, cuatro LDAP servidores son más que suficientes para autenticar a todos los usuarios del dominio y para proporcionar redundancia en caso de que un servidor LDAP baje. A veces, las empresas más grandes tienen más de cuatro LDAP servidores con entornos distribuidos en los que los usuarios se conectan a LDAP servidores dedicados. Los usuarios pueden ponerse en contacto con LDAP servidores que no son uno de los cuatro servidores e intentarán autenticarse en ellos.
Si se agregan cuatro LDAP servidores en el perfil LDAP (en Perfiles de servidor > dispositivo >) LDAPel botón "más" se atenuará y no será posible agregar más servidores en el perfil.
Resolution
Esta limitación para la autenticación con solo cuatro LDAP servidores se puede superar con el uso de otro LDAP perfil, que incluye el resto de LDAP servidores. Por ejemplo:
- Bajo perfil de autenticación > del dispositivo, coaselos perfiles de autenticación para ambos LDAP perfiles,
NOTE:
Los perfiles de autenticación se pueden combinar en una secuencia de autenticación. Si no se encuentra un usuario en uno de los servidores del primer perfil de LDAP autenticación, intentará el siguiente, lo que debería dar lugar a un intento de autenticación correcto en su conjunto en el firewall archivo .
Esto se configura bajo secuencia de autenticación del dispositivo >:
Esta secuencia ahora se puede utilizar para cualquier propósito, tal como GlobalProtect autenticación: