Firewall添加用户代理后未在帕洛阿尔托网络上拉的组 ID

症状

团体不会出现在 CLI UI 帕洛阿尔托网络和网络 firewall 上。 LDAP服务器配置文件用于组映射（设备>用户标识>组映射设置）。 LDAP通过扩展组包括列表下的组来验证服务器的正确连接：

原因

如果将用户 ID 代理配置为 LDAP 代理（设备>用户标识>用户 ID- 代理）， LDAP 并且还使用了服务器配置文件，则组不得在 Palo Alto 网络上提取 firewall 。

分辨率

取消选中"用作 LDAP 代理"选项并执行提交。

提交操作完成后，在上面运行以下命令之一 CLI ，以验证组是否正在被拉取：

• > 显示所有的用户组映射状态
• >> 显示用户组-映射统计信息

注意： 用户 ID 软件代理 4.1 及以上没有设置来收集软件代理内的组信息。 要代理 LDAP 组信息，请在"用作 LDAP 代理"选项上配置"配置文件"和"组映射 firewall LDAP "设置，并检查"用作代理"选项。

欲了解更多信息，有关组映射如何配置组映射设置，可查看此文档？和此文档上 LDAP配置文件如何配置 LDAP 服务器配置文件

所有者： shasnain