Comandos CLI útiles para solucionar problemas de conexión LDAP
Resolution
Resumen
Este documento describe los comandos CLI que se pueden utilizar para verificar una conexión satisfactoria con el servidor LDAP para la extracción de grupos.
Detalles
Durante la configuración del servidor LDAP, el dispositivo tira automáticamente del DN de base si la conexión es satisfactoria. La base y el enlace DN están configurados en el dispositivo > perfiles de servidor > LDAP:
Utilice el comando Mostrar todo el estado de mapping de grupos de usuarios para ver la conectividad LDAP si utiliza el perfil de servidor para la asignación de grupos.
Por ejemplo:
> Mostrar estado de asignación de grupo de usuario todos
Asignación de grupos (vsys1, tipo: Active-Directory): grp_mapping
BIND DN: pantac2003\adminatrator
Base: DC = pantac2003, DC = com
Filtro de Grupo: (ninguno)
Filtro de usuario: (ninguno)
Servidores: configuró 1 servidores
10.46.48.101 (389)
Tiempo de la última acción: 2290 secs hace (tomó 71 secs)
Tiempo de la acción siguiente: en 1310 secs
Número de grupos: 121
CN = administradores, CN = builten, DC = pantac2003, DC = com
CN = servidores RAS e IAS, CN = users, DC = pantac2003, DC = com
CN = s, CN = users, DC = pantac2003, DC = com
Si el enlace DN introducido en el dispositivo Palo Alto Networks bajo dispositivo > perfiles de servidor > LDAP es incorrecto, la salida del comando mostrará "credenciales no válidas".
El ejemplo de salida siguiente muestra un escenario en el que se introdujo "CN = Administrator12", pero el valor correcto fue "cn = Administrator":
> Mostrar estado de asignación de grupo de usuario todos
Asignación de grupos (vsys1, tipo: Active-Directory): grp_mapping
BIND DN: CN = Administrator12, CN = users, DC = pantac2003, DC = com
Base: DC = pantac2003, DC = com
Filtro de Grupo: (ninguno)
Filtro de usuario: (ninguno)
Servidores: configuró 1 servidores
10.46.48.101 (389)
Tiempo de la última acción: 0 secs ago (tomó 0 secs)
Tiempo de la acción siguiente: en 60 secs
Último error LDAP: credenciales no válidas
Número de grupos: 0
Los errores se pueden extraer del registro de ID de usuario mediante el siguiente comando:
> menos MP-log ID. log
Dec 30 15:59:07 conexión a LDAP://[10.46.48.101]: 389...
Dec 30 15:59:07 error: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): credenciales no válidas
Dec 30 15:59:07 error: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () falló
Dec 30 15:59:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) failed
Dec 30 15:59:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping no se pudo conectar al servidor 10.46.48.101 índice 0
Dec 30 15:59:07 error: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () falló
Dec 30 15:59:14 ADVERTENCIA: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): búsqueda abortada
Dec 30 15:59:16 error: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () falló
Dec 30 15:59:16 error: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () falló
Dec 30 15:59:16 error: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () falló
Dec 30 16:00:07 conexión a LDAP://[10.46.48.101]: 389...
Dec 30 16:00:07 error: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): credenciales no válidas
Dec 30 16:00:07 error: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () falló
Dec 30 16:00:07 error: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) failed
Comando para restablecer el vínculo al servidor LDAP
> debug User-ID restablecer grupo-mapping<grp_mapping_name></grp_mapping_name>
Comando para establecer depuración de LDAP
> debug User-ID conjunto LDAP todo
Comando para activar Debug
> debug User-ID en Debug
Comando para desactivar Debug
> debug User-ID
Comando para capturar tráfico LDAP si utiliza el puerto de administración
> filtro tcpdump "Port 389"
Comando para capturar el tráfico LDAPS (SSL) Si utiliza el puerto de administración
> filtro tcpdump "Port 636"
Comando para ver el PCAP sacado del puerto de administración
> ver pcap mgmt-pcap mgmt.pcap
Comando para exportar el PCAP a un host externo por SCP o TFTP
> SCP Export MGMT-pcap de MGMT. pcap al nombre de usuario @ host: path
> TFTP Export MGMT-pcap de MGMT. pcap a<tftp host=""></tftp>
Propietario: sdarapuneni