Comment utiliser plus de quatre serveurs LDAP dans une configuration de réseaux Palo Alto
Symptom
Il existe un nombre limité de LDAP serveurs qui peuvent être configurés sur un profil sur les actifs de Palo Alto LDAP Networks. Quatre LDAP serveurs sont pris en charge dans un LDAP profil.
Environment
- NGFW
- LDAP
- LDAP Voir le profil
- Profil d’authentification
Cause
Habituellement, quatre LDAP serveurs sont plus que suffisants pour authentifier tous les utilisateurs dans le domaine, et pour fournir la redondance au cas où un serveur LDAP descend. Parfois, les grandes entreprises ont plus de quatre serveurs avec LDAP des environnements distribués dans lesquels les utilisateurs se connectent à des serveurs LDAP dédiés. Les utilisateurs peuvent contacter LDAP des serveurs qui ne sont pas l’un des quatre serveurs, et tenteront de s’authentifier pour eux.
Si vous ajoutez LDAP quatre serveurs dans le profil LDAP (sous device > Server Profiles >), LDAPle bouton « plus » sera grisé, et il ne sera pas possible d’ajouter plus de serveurs dans le profil.
Resolution
Cette limitation d’authentification avec LDAP seulement quatre serveurs peut être surmontée par l’utilisation LDAP d’un autre profil, qui inclut le reste des LDAP serveurs. Par exemple:
- Sous Profil d>'authentification de l’appareil, créamener les profils d’authentification pour les deux LDAP profils,
NOTE:
Les profils d’authentification peuvent être combinés dans une séquence d’authentification. Si un utilisateur n’est pas trouvé sur l’un LDAP des serveurs dans le premier profil d’authentification, il tentera le prochain, ce qui devrait aboutir à une tentative d’authentification réussie dans son ensemble sur le firewall .
Ceci est configuré sous séquence d’authentification >'appareil :
Cette séquence peut maintenant être utilisée à n’importe quelle fin, comme GlobalProtect l’authentification :