有关 LDAP 连接疑难解答的有用 CLI 命令

概述

本文档介绍可用于验证与 LDAP 服务器的成功连接以进行抽取组的 CLI 命令。

详细

在 LDAP 服务器配置期间, 如果连接成功, 设备将自动拉入基本 DN。基和绑定 DN 配置在设备 > 服务器配置文件 > LDAP:

如果使用服务器配置文件进行组映射, 请使用 "显示用户组映射状态" 命令查看 LDAP 连接.

例如：

> 显示所有的用户组映射状态

组映射 (vsys1, 类型: 活动目录): grp_mapping

  绑定 DN: pantac2003\adminatrator

  基地: DC=pantac2003,DC=com

  组筛选器: (无)

  用户筛选器: (无)

  服务器: 配置的1台服务器

          10.46.48.101 (389)

                  上一个动作时间: 2290 秒前 (花了71秒)

                  下一操作时间: 1310年秒

  组数: 121

  cn=administrators,cn=builtin,dc=pantac2003,dc=com

  cn = ras 和 ias servers,cn=users,dc=pantac2003,dc=com

  cn=s,cn=users,dc=pantac2003,dc=com

如果在 "设备 > 服务器配置文件" 下的帕洛阿尔托网络设备上输入的 Bind DN 不正确, 则该命令的输出将显示 "无效凭据"。

下面的示例输出显示了一个方案, 其中输入了 "cn=Administrator12", 但正确的值是 "cn = 管理员":

> 显示所有的用户组映射状态

组映射 (vsys1, 类型: 活动目录): grp_mapping

  绑定 DN: CN=Administrator12,CN=Users,DC=pantac2003,DC=com

  基地: DC=pantac2003,DC=com

  组筛选器: (无)

  用户筛选器: (无)

  服务器: 配置的1台服务器

          10.46.48.101 (389)

                  上一个动作时间: 0 秒前 (花了0秒)

                  下一个动作时间:60 秒

                   上一个 LDAP 错误: 无效凭据

  组数: 0

可以使用以下命令从 useridd 日志中提取错误:

>> 少 mp 日志 useridd.log

12月30日 15:59:07连接到 ldap://[10.46.48.101]: 389..。

12月30日 15:59:07错误: pan_ldap_bind_simple (pan_ldap: 466): ldap_sasl_bind 结果返回 (49): 无效凭据

12月30日 15:59:07错误: pan_ldap_ctrl_connect (pan_ldap_ctrl: 832): pan_ldap_bind () 失败

12月30日 15:59:07错误: pan_gm_data_connect_ctrl (pan_group_mapping: 994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) 失败

12月30日 15:59:07错误: pan_gm_data_connect_ctrl (pan_group_mapping: 1061): ldap cfg grp_mapping 未能连接到服务器10.46.48.101 索引0

12月30日 15:59:07错误: pan_gm_data_ldap_proc (pan_group_mapping: 1942): pan_gm_data_connect_ctrl () 失败

12月30日 15:59:14警告: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl: 546): 搜索中止

12月30日 15:59:16错误: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl: 2384): pan_ldap_ctrl_construct_groups () 失败

12月30日 15:59:16错误: pan_gm_data_update (pan_group_mapping: 1431): pan_ldap_ctrl_query_group_membership () 失败

12月30日 15:59:16错误: pan_gm_data_ldap_proc (pan_group_mapping: 1976): pan_gm_data_update () 失败

12月30日 16:00:07连接到 ldap://[10.46.48.101]: 389..。

12月30日 16:00:07错误: pan_ldap_bind_simple (pan_ldap: 466): ldap_sasl_bind 结果返回 (49): 无效凭据

12月30日 16:00:07错误: pan_ldap_ctrl_connect (pan_ldap_ctrl: 832): pan_ldap_bind () 失败

12月30日 16:00:07错误: pan_gm_data_connect_ctrl (pan_group_mapping: 994): pan_ldap_ctrl_connect (grp_mapping, 10.46.48.101:389) 失败

命令重新建立到 LDAP 服务器的链接

>> 调试用户 id 重置组-映射<grp_mapping_name></grp_mapping_name>

设置 LDAP 调试的命令

>> 调试用户 id 集 ldap 所有

命令打开调试

> 调试时调试用户 id

关闭调试的命令

>> 调试用户 id 关闭

使用管理端口捕获 LDAP 通信的命令

>> tcpdump 过滤器 "端口 389"

使用管理端口捕获 LDAPS (SSL) 通信量的命令

>> tcpdump 过滤器 "端口 636"

查看从管理端口起飞的 pcap 的命令

> 视图读取 mgmt pcap mgmt.pcap

通过 scp 或 tftp 将 pcap 导出到外部主机的命令

>> scp 出口管理-pcap 从管理 pcap 到 username@host: 路径

>> tftp 出口管理-pcap 从管理 pcap 到<tftp host=""></tftp>

所有者： sdarapuneni