Nützliche CLI-Befehle, um LDAP-Verbindung zu beheben

Nützliche CLI-Befehle, um LDAP-Verbindung zu beheben

247819
Created On 09/26/18 13:51 PM - Last Modified 06/12/23 21:09 PM


Resolution


Übersicht

Dieses Dokument beschreibt die CLI-Befehle, mit denen eine erfolgreiche Verbindung zum LDAP-Server für das Ziehen von Gruppen überprüft werden kann.

 

Details

Während der LDAP-Server-Konfiguration zieht das Gerät automatisch die Basis-DN, wenn die Verbindung erfolgreich ist. Die Basis und Bind DN sind unter Device > Server Profile > LDAP konfiguriert:

Ospf. Jpg. jpg

 

Basis. Jpg. jpg

Verwenden Sie die Anzeige-Benutzergruppe-Mapping State alle Befehl, um die LDAP-Konnektivität zu sehen, wenn Sie das Server-Profil für die Gruppen-Mapping.

Zum Beispiel:

> Benutzer-Gruppenzuordnung Zustand alle zeigen

Gruppen-Mapping (vsys1, Typ: Active-Verzeichnis): grp_mapping

  Bind DN: pantac2003\adminatrator

  Basis: DC = pantac2003, DC = com

  Gruppen Filter: (keine)

  Benutzer Filter: (keine)

  Server: konfigurierte 1 Server

          10.46.48.101 (389)

                  Letzte Aktionszeit: 2290 Sekunden ago (nahm 71 Sekunden)

                  Nächste Aktionszeit: in 1310 Sekunden

  Anzahl der Gruppen: 121

  CN = Administratoren, CN = Builtin, DC = pantac2003, DC = com

  CN = RAS und IAS Server, CN = Users, DC = pantac2003, DC = com

  CN = s, CN = Users, DC = pantac2003, DC = com

 

Wenn die Bind DN auf dem Palo Alto Networks-Gerät unter Device > Server-Profile > LDAP eingegeben ist, wird die Ausgabe des Befehls "ungültige Berechtigungen" anzeigen.

Die folgende Beispielausgabe zeigt ein Szenario, in dem "CN = Administrator12" eingegeben wurde, aber der richtige Wert war "cn = Administrator":

> Benutzer-Gruppenzuordnung Zustand alle zeigen

Gruppen-Mapping (vsys1, Typ: Active-Verzeichnis): grp_mapping

  Bind DN: CN = Administrator12, CN = Users, DC = pantac2003, DC = com

  Basis: DC = pantac2003, DC = com

  Gruppen Filter: (keine)

  Benutzer Filter: (keine)

  Server: konfigurierte 1 Server

          10.46.48.101 (389)

                  Letzte Aktionszeit: 0 Sekunden ago (nahm 0 Sekunden)

                  Nächste Aktionszeit: in 60 Sekunden

                   Letzter LDAP-Fehler: Ungültige Berechtigungen

  Anzahl der Gruppen: 0

 

Fehler können aus dem useridd-Log mit folgendem Befehl gezogen werden:

> weniger MP-Log useridd. log

Dez 30 15:59:07 Verbindung zu LDAP://[10.46.48.101]: 389...

Dez 30 15:59:07 Fehler: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind Ergebnis Rendite (49): Ungültige Berechtigungen

Dez 30 15:59:07 Fehler: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () gescheitert

Dez 30 15:59:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) scheiterte

Dez 30 15:59:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping gescheiterte Verbindung zu Server 10.46.48.101 Index 0

Dez 30 15:59:07 Fehler: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () failed

Dez 30 15:59:14 Warnung: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): Suche abgebrochen

Dez 30 15:59:16 Fehler: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () failed

Dez 30 15:59:16 Fehler: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () gescheitert

Dez 30 15:59:16 Fehler: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () failed

Dez 30 16:00:07 Verbindung zu LDAP://[10.46.48.101]: 389...

Dez 30 16:00:07 Fehler: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind Ergebnis Rendite (49): Ungültige Berechtigungen

Dez 30 16:00:07 Fehler: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () gescheitert

Dez 30 16:00:07 Fehler: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) scheiterte

 

Befehl zur Wiederherstellung des Links zum LDAP-Server

> Debug User-ID Reset Group-Mapping<grp_mapping_name></grp_mapping_name>

 

Befehl zum Setzen von LDAP-Debug

> Debug User-ID setzen LDAP all

 

Befehl zum Einschalten von Debug

> Benutzer-ID auf Debug

 

Befehl zum Ausschalten von Debug

> Benutzer-ID aus

 

Befehl zur Erfassung von LDAP-Verkehr, wenn Sie Management-Port verwenden

> tcpdump-Filter "Port 389"

 

Befehl zur Erfassung von LDAPS (SSL)-Verkehr, wenn Sie den Management-Port verwenden

> tcpdump-Filter "Port 636"

 

Befehl, um die pcap vom Management-Port abgenommen zu sehen

> Ansicht-Pcap Mgmt-Pcap mgmt.pcap

 

Befehl, die pcap von SCP oder TFTP zu einem externen Host zu exportieren

> SCP Export Mgmt-pcap von Mgmt. pcap zu username @ Host: Path

> TFTP Export Mgmt-pcap von Mgmt. pcap, um<tftp host=""></tftp>

 

Besitzer: Sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluWCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language