Nützliche CLI-Befehle, um LDAP-Verbindung zu beheben
Resolution
Übersicht
Dieses Dokument beschreibt die CLI-Befehle, mit denen eine erfolgreiche Verbindung zum LDAP-Server für das Ziehen von Gruppen überprüft werden kann.
Details
Während der LDAP-Server-Konfiguration zieht das Gerät automatisch die Basis-DN, wenn die Verbindung erfolgreich ist. Die Basis und Bind DN sind unter Device > Server Profile > LDAP konfiguriert:
Verwenden Sie die Anzeige-Benutzergruppe-Mapping State alle Befehl, um die LDAP-Konnektivität zu sehen, wenn Sie das Server-Profil für die Gruppen-Mapping.
Zum Beispiel:
> Benutzer-Gruppenzuordnung Zustand alle zeigen
Gruppen-Mapping (vsys1, Typ: Active-Verzeichnis): grp_mapping
Bind DN: pantac2003\adminatrator
Basis: DC = pantac2003, DC = com
Gruppen Filter: (keine)
Benutzer Filter: (keine)
Server: konfigurierte 1 Server
10.46.48.101 (389)
Letzte Aktionszeit: 2290 Sekunden ago (nahm 71 Sekunden)
Nächste Aktionszeit: in 1310 Sekunden
Anzahl der Gruppen: 121
CN = Administratoren, CN = Builtin, DC = pantac2003, DC = com
CN = RAS und IAS Server, CN = Users, DC = pantac2003, DC = com
CN = s, CN = Users, DC = pantac2003, DC = com
Wenn die Bind DN auf dem Palo Alto Networks-Gerät unter Device > Server-Profile > LDAP eingegeben ist, wird die Ausgabe des Befehls "ungültige Berechtigungen" anzeigen.
Die folgende Beispielausgabe zeigt ein Szenario, in dem "CN = Administrator12" eingegeben wurde, aber der richtige Wert war "cn = Administrator":
> Benutzer-Gruppenzuordnung Zustand alle zeigen
Gruppen-Mapping (vsys1, Typ: Active-Verzeichnis): grp_mapping
Bind DN: CN = Administrator12, CN = Users, DC = pantac2003, DC = com
Basis: DC = pantac2003, DC = com
Gruppen Filter: (keine)
Benutzer Filter: (keine)
Server: konfigurierte 1 Server
10.46.48.101 (389)
Letzte Aktionszeit: 0 Sekunden ago (nahm 0 Sekunden)
Nächste Aktionszeit: in 60 Sekunden
Letzter LDAP-Fehler: Ungültige Berechtigungen
Anzahl der Gruppen: 0
Fehler können aus dem useridd-Log mit folgendem Befehl gezogen werden:
> weniger MP-Log useridd. log
Dez 30 15:59:07 Verbindung zu LDAP://[10.46.48.101]: 389...
Dez 30 15:59:07 Fehler: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind Ergebnis Rendite (49): Ungültige Berechtigungen
Dez 30 15:59:07 Fehler: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () gescheitert
Dez 30 15:59:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) scheiterte
Dez 30 15:59:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping gescheiterte Verbindung zu Server 10.46.48.101 Index 0
Dez 30 15:59:07 Fehler: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () failed
Dez 30 15:59:14 Warnung: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): Suche abgebrochen
Dez 30 15:59:16 Fehler: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () failed
Dez 30 15:59:16 Fehler: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () gescheitert
Dez 30 15:59:16 Fehler: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () failed
Dez 30 16:00:07 Verbindung zu LDAP://[10.46.48.101]: 389...
Dez 30 16:00:07 Fehler: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind Ergebnis Rendite (49): Ungültige Berechtigungen
Dez 30 16:00:07 Fehler: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () gescheitert
Dez 30 16:00:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) scheiterte
Befehl zur Wiederherstellung des Links zum LDAP-Server
> Debug User-ID Reset Group-Mapping<grp_mapping_name></grp_mapping_name>
Befehl zum Setzen von LDAP-Debug
> Debug User-ID setzen LDAP all
Befehl zum Einschalten von Debug
> Benutzer-ID auf Debug
Befehl zum Ausschalten von Debug
> Benutzer-ID aus
Befehl zur Erfassung von LDAP-Verkehr, wenn Sie Management-Port verwenden
> tcpdump-Filter "Port 389"
Befehl zur Erfassung von LDAPS (SSL)-Verkehr, wenn Sie den Management-Port verwenden
> tcpdump-Filter "Port 636"
Befehl, um die pcap vom Management-Port abgenommen zu sehen
> Ansicht-Pcap Mgmt-Pcap mgmt.pcap
Befehl, die pcap von SCP oder TFTP zu einem externen Host zu exportieren
> SCP Export Mgmt-pcap von Mgmt. pcap zu username @ Host: Path
> TFTP Export Mgmt-pcap von Mgmt. pcap, um<tftp host=""></tftp>
Besitzer: Sdarapuneni