Commandes CLI utiles pour dépanner la connexion LDAP
Resolution
Vue d’ensemble
Ce document décrit les commandes CLI qui peuvent être utilisées pour vérifier une connexion réussie au serveur LDAP pour la traction de groupes.
Détails
Pendant la configuration du serveur LDAP, le périphérique tire automatiquement le DN de base si la connexion est réussie. Les DN de base et bind sont configurés sous Device > Server Profiles > LDAP:
Utilisez la commande afficher l'état de mappage des groupes d'utilisateurs pour afficher la connectivité LDAP si vous utilisez le profil serveur pour le mappage de groupe.
Par exemple :
> Afficher l’état de mise en correspondance des groupe utilisateur tous les
Mappage de groupe (vsys1, type: Active-Directory): grp_mapping
Bind DN: pantac2003\adminatrator
Base: DC = pantac2003, DC = com
Filtre de groupe: (aucun)
Filtre utilisateur: (aucun)
Serveurs: configurés 1 serveurs
10.46.48.101 (389)
Last Action Time: 2290 il ya (a pris 71 secs)
Prochaine action temps: en 1310 secs
Nombre de groupes: 121
CN = administrateurs, CN = commande interne, DC = pantac2003, DC = com
CN = Serveurs RAS et IAS, CN = utilisateurs, DC = pantac2003, DC = com
CN = s, CN = utilisateurs, DC = pantac2003, DC = com
Si le DN bind entré sur le périphérique Palo Alto Networks sous Device > Server profils > LDAP est incorrect, la sortie de la commande affichera "informations d'identification non valides".
L'exemple de sortie ci-dessous montre un scénario dans lequel "CN = Administrator12" a été entré, mais la valeur correcte était "CN = Administrator":
> Afficher l’état de mise en correspondance des groupe utilisateur tous les
Mappage de groupe (vsys1, type: Active-Directory): grp_mapping
Bind DN: CN = Administrator12, CN = Users, DC = pantac2003, DC = com
Base: DC = pantac2003, DC = com
Filtre de groupe: (aucun)
Filtre utilisateur: (aucun)
Serveurs: configurés 1 serveurs
10.46.48.101 (389)
Dernière action temps: 0 secs il ya (a pris 0 secs)
Prochaine action temps: en 60 secs
Dernière erreur LDAP: informations d'identification non valides
Nombre de groupes: 0
Les erreurs peuvent être extraites du journal useridd à l'aide de la commande suivante:
> moins de MP-log useridd. log
Déc 30 15:59:07 connexion à LDAP://[10.46.48.101]: 389...
Déc 30 15:59:07 erreur: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): informations d'identification non valides
Déc 30 15:59:07 erreur: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () a échoué
Déc 30 15:59:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) a échoué
Déc 30 15:59:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping échec de la connexion au serveur 10.46.48.101 index 0
Déc 30 15:59:07 erreur: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () a échoué
Déc 30 15:59:14 AVERTISSEMENT: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): recherche abandonnée
Déc 30 15:59:16 erreur: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () a échoué
Déc 30 15:59:16 erreur: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () a échoué
Déc 30 15:59:16 erreur: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () a échoué
Déc 30 16:00:07 connexion à LDAP://[10.46.48.101]: 389...
Déc 30 16:00:07 erreur: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): informations d'identification non valides
Déc 30 16:00:07 erreur: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () a échoué
Déc 30 16:00:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) a échoué
Commande pour rétablir le lien vers le serveur LDAP
> Debug User-ID Reset groupe-mappage<grp_mapping_name></grp_mapping_name>
Commande pour définir le débogage LDAP
> Debug User-ID Set LDAP tous
Commande pour activer le débogage
> Debug User-ID sur Debug
Commande pour désactiver Debug
> Debug User-ID OFF
Commande pour capturer le trafic LDAP si vous utilisez le port de gestion
> tcpdump filtre "port 389"
Commande pour capturer le trafic LDAPS (SSL) si vous utilisez le port de gestion
> tcpdump filtre "port 636"
Commande pour afficher le PCAP retiré du port de gestion
> mgmt.pcap mgmt-pcap vue-pcap
Commande pour exporter le PCAP vers un hôte externe par SCP ou TFTP
> SCP Export Mgmt-PCAP de Mgmt. PCAP à NomUtilisateur @ Host: chemin
> TFTP Export Mgmt-PCAP de Mgmt. PCAP à<tftp host=""></tftp>
propriétaire : sdarapuneni