Firewall添加用户代理后未在帕洛阿尔托网络上拉的组 ID
55824
Created On 09/27/18 07:01 AM - Last Modified 06/08/23 22:47 PM
Resolution
症状
团体不会出现在 CLI UI 帕洛阿尔托网络和网络 firewall 上。 LDAP服务器配置文件用于组映射(设备>用户标识>组映射设置)。 LDAP通过扩展组包括列表下的组来验证服务器的正确连接:
原因
如果将用户 ID 代理配置为 LDAP 代理(设备>用户标识>用户 ID- 代理), LDAP 并且还使用了服务器配置文件,则组不得在 Palo Alto 网络上提取 firewall 。
分辨率
取消选中"用作 LDAP 代理"选项并执行提交。
提交操作完成后,在上面运行以下命令之一 CLI ,以验证组是否正在被拉取:
- > 显示所有的用户组映射状态
- >> 显示用户组-映射统计信息
注意: 用户 ID 软件代理 4.1 及以上没有设置来收集软件代理内的组信息。 要代理 LDAP 组信息,请在"用作 LDAP 代理"选项上配置"配置文件"和"组映射 firewall LDAP "设置,并检查"用作代理"选项。
欲了解更多信息,有关组映射如何配置组映射设置,可查看此文档?和此文档上 LDAP配置文件如何配置 LDAP 服务器配置文件
所有者: shasnain