Commandes CLI utiles pour dépanner la connexion LDAP

Commandes CLI utiles pour dépanner la connexion LDAP

247860
Created On 09/26/18 13:51 PM - Last Modified 06/12/23 21:09 PM


Resolution


Vue d’ensemble

Ce document décrit les commandes CLI qui peuvent être utilisées pour vérifier une connexion réussie au serveur LDAP pour la traction de groupes.

 

Détails

Pendant la configuration du serveur LDAP, le périphérique tire automatiquement le DN de base si la connexion est réussie. Les DN de base et bind sont configurés sous Device > Server Profiles > LDAP:

Ospf. Jpg. jpg

 

Base. Jpg. jpg

Utilisez la commande afficher l'état de mappage des groupes d'utilisateurs pour afficher la connectivité LDAP si vous utilisez le profil serveur pour le mappage de groupe.

Par exemple :

> Afficher l’état de mise en correspondance des groupe utilisateur tous les

Mappage de groupe (vsys1, type: Active-Directory): grp_mapping

  Bind DN: pantac2003\adminatrator

  Base: DC = pantac2003, DC = com

  Filtre de groupe: (aucun)

  Filtre utilisateur: (aucun)

  Serveurs: configurés 1 serveurs

          10.46.48.101 (389)

                  Last Action Time: 2290 il ya (a pris 71 secs)

                  Prochaine action temps: en 1310 secs

  Nombre de groupes: 121

  CN = administrateurs, CN = commande interne, DC = pantac2003, DC = com

  CN = Serveurs RAS et IAS, CN = utilisateurs, DC = pantac2003, DC = com

  CN = s, CN = utilisateurs, DC = pantac2003, DC = com

 

Si le DN bind entré sur le périphérique Palo Alto Networks sous Device > Server profils > LDAP est incorrect, la sortie de la commande affichera "informations d'identification non valides".

L'exemple de sortie ci-dessous montre un scénario dans lequel "CN = Administrator12" a été entré, mais la valeur correcte était "CN = Administrator":

> Afficher l’état de mise en correspondance des groupe utilisateur tous les

Mappage de groupe (vsys1, type: Active-Directory): grp_mapping

  Bind DN: CN = Administrator12, CN = Users, DC = pantac2003, DC = com

  Base: DC = pantac2003, DC = com

  Filtre de groupe: (aucun)

  Filtre utilisateur: (aucun)

  Serveurs: configurés 1 serveurs

          10.46.48.101 (389)

                  Dernière action temps: 0 secs il ya (a pris 0 secs)

                  Prochaine action temps: en 60 secs

                   Dernière erreur LDAP: informations d'identification non valides

  Nombre de groupes: 0

 

Les erreurs peuvent être extraites du journal useridd à l'aide de la commande suivante:

> moins de MP-log useridd. log

Déc 30 15:59:07 connexion à LDAP://[10.46.48.101]: 389...

Déc 30 15:59:07 erreur: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): informations d'identification non valides

Déc 30 15:59:07 erreur: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () a échoué

Déc 30 15:59:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) a échoué

Déc 30 15:59:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:1061): LDAP cfg grp_mapping échec de la connexion au serveur 10.46.48.101 index 0

Déc 30 15:59:07 erreur: pan_gm_data_ldap_proc (pan_group_mapping. c:1942): pan_gm_data_connect_ctrl () a échoué

Déc 30 15:59:14 AVERTISSEMENT: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl. c:546): recherche abandonnée

Déc 30 15:59:16 erreur: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl. c:2384): pan_ldap_ctrl_construct_groups () a échoué

Déc 30 15:59:16 erreur: pan_gm_data_update (pan_group_mapping. c:1431): pan_ldap_ctrl_query_group_membership () a échoué

Déc 30 15:59:16 erreur: pan_gm_data_ldap_proc (pan_group_mapping. c:1976): pan_gm_data_update () a échoué

Déc 30 16:00:07 connexion à LDAP://[10.46.48.101]: 389...

Déc 30 16:00:07 erreur: pan_ldap_bind_simple (pan_ldap. c:466): ldap_sasl_bind result Return (49): informations d'identification non valides

Déc 30 16:00:07 erreur: pan_ldap_ctrl_connect (pan_ldap_ctrl. c:832): pan_ldap_bind () a échoué

Déc 30 16:00:07 erreur: pan_gm_data_connect_ctrl (pan_group_mapping. c:994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) a échoué

 

Commande pour rétablir le lien vers le serveur LDAP

> Debug User-ID Reset groupe-mappage<grp_mapping_name></grp_mapping_name>

 

Commande pour définir le débogage LDAP

> Debug User-ID Set LDAP tous

 

Commande pour activer le débogage

> Debug User-ID sur Debug

 

Commande pour désactiver Debug

> Debug User-ID OFF

 

Commande pour capturer le trafic LDAP si vous utilisez le port de gestion

> tcpdump filtre "port 389"

 

Commande pour capturer le trafic LDAPS (SSL) si vous utilisez le port de gestion

> tcpdump filtre "port 636"

 

Commande pour afficher le PCAP retiré du port de gestion

> mgmt.pcap mgmt-pcap vue-pcap

 

Commande pour exporter le PCAP vers un hôte externe par SCP ou TFTP

> SCP Export Mgmt-PCAP de Mgmt. PCAP à NomUtilisateur @ Host: chemin

> TFTP Export Mgmt-PCAP de Mgmt. PCAP à<tftp host=""></tftp>

 

propriétaire : sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluWCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language