Comandos CLI útiles para solucionar problemas de conexión LDAP

Resumen

Este documento describe los comandos CLI que se pueden utilizar para verificar una conexión satisfactoria con el servidor LDAP para la extracción de grupos.

Detalles

Durante la configuración del servidor LDAP, el dispositivo tira automáticamente del DN de base si la conexión es satisfactoria. La base y el enlace DN están configurados en el dispositivo > perfiles de servidor > LDAP:

Utilice el comando Mostrar todo el estado de mapping de grupos de usuarios para ver la conectividad LDAP si utiliza el perfil de servidor para la asignación de grupos.

Por ejemplo:

> Mostrar estado de asignación de grupo de usuario todos

Asignación de grupos (vsys1, tipo: Active-Directory): grp_mapping

  BIND DN: pantac2003\adminatrator

  Base: DC = pantac2003, DC = com

  Filtro de Grupo: (ninguno)

  Filtro de usuario: (ninguno)

  Servidores: configuró 1 servidores

          10.46.48.101 (389)

                  Tiempo de la última acción: 2290 secs hace (tomó 71 secs)

                  Tiempo de la acción siguiente: en 1310 secs

  Número de grupos: 121

  CN = administradores, CN = builten, DC = pantac2003, DC = com

  CN = servidores RAS e IAS, CN = users, DC = pantac2003, DC = com

  CN = s, CN = users, DC = pantac2003, DC = com

Si el enlace DN introducido en el dispositivo Palo Alto Networks bajo dispositivo > perfiles de servidor > LDAP es incorrecto, la salida del comando mostrará "credenciales no válidas".

El ejemplo de salida siguiente muestra un escenario en el que se introdujo "CN = Administrator12", pero el valor correcto fue "cn = Administrator":

> Mostrar estado de asignación de grupo de usuario todos

Asignación de grupos (vsys1, tipo: Active-Directory): grp_mapping

  BIND DN: CN = Administrator12, CN = users, DC = pantac2003, DC = com

  Base: DC = pantac2003, DC = com

  Filtro de Grupo: (ninguno)

  Filtro de usuario: (ninguno)

  Servidores: configuró 1 servidores

          10.46.48.101 (389)

                  Tiempo de la última acción: 0 secs ago (tomó 0 secs)

                  Tiempo de la acción siguiente: en 60 secs

                   Último error LDAP: credenciales no válidas

  Número de grupos: 0

Los errores se pueden extraer del registro de ID de usuario mediante el siguiente comando:

> menos MP-log ID. log

Dec 30 15:59:07 conexión a LDAP://[10.46.48.101]: 389...

Dec 30 15:59:07 error: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): credenciales no válidas

Dec 30 15:59:07 error: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () falló

Dec 30 15:59:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) failed

Dec 30 15:59:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping no se pudo conectar al servidor 10.46.48.101 índice 0

Dec 30 15:59:07 error: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () falló

Dec 30 15:59:14 ADVERTENCIA: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): búsqueda abortada

Dec 30 15:59:16 error: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () falló

Dec 30 15:59:16 error: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () falló

Dec 30 15:59:16 error: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () falló

Dec 30 16:00:07 conexión a LDAP://[10.46.48.101]: 389...

Dec 30 16:00:07 error: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): credenciales no válidas

Dec 30 16:00:07 error: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () falló

Dec 30 16:00:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) failed

Comando para restablecer el vínculo al servidor LDAP

> debug User-ID restablecer grupo-mapping<grp_mapping_name></grp_mapping_name>

Comando para establecer depuración de LDAP

> debug User-ID conjunto LDAP todo

Comando para activar Debug

> debug User-ID en Debug

Comando para desactivar Debug

> debug User-ID

Comando para capturar tráfico LDAP si utiliza el puerto de administración

> filtro tcpdump "Port 389"

Comando para capturar el tráfico LDAPS (SSL) Si utiliza el puerto de administración

> filtro tcpdump "Port 636"

Comando para ver el PCAP sacado del puerto de administración

&gt; ver pcap mgmt-pcap mgmt.pcap

Comando para exportar el PCAP a un host externo por SCP o TFTP

> SCP Export MGMT-pcap de MGMT. pcap al nombre de usuario @ host: path

> TFTP Export MGMT-pcap de MGMT. pcap a<tftp host=""></tftp>

Propietario: sdarapuneni