Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Gruppenzuordnung nach Aktualisierung nicht geändert - Knowledge Base - Palo Alto Networks

Gruppenzuordnung nach Aktualisierung nicht geändert

95835
Created On 04/18/19 14:19 PM - Last Modified 03/26/21 17:38 PM


Symptom


A Benutzer kann eine neue Gruppenzuordnung oder vorhandene Gruppenzuordnungsinformationen in einem firewall hinzufügen, was einwandfrei funktioniert, aber später zeigt er die Gruppenzuordnung auf der Weboberfläche des, das firewall eine Liste enthält, die keine Liste enthält, nicht über CLI Befehle, "Benutzergruppenname < group name > anzeigen".

Von der firewall Weboberfläche aus kann es zeigen, dass die Gruppenzuordnung eine Liste enthält, aber CLI wenn Sie versuchen, "Benutzergruppennamen anzeigen" zu überprüfen, < group name > wird angezeigt, als ob der Gruppenname auf dem Ziel vsys-1 nicht vorhanden ist.


 



Environment


Alle Firewalls

Cause


– Der Benutzer darf diesen Gruppennamen nirgendwo im firewall (Auth-Profil, Sicherheitsrichtlinien, Globaler Schutz) – Admin nicht
überprüfen können, ob der Benutzer zu diesem bestimmten Gruppennamen über CLI "Benutzergruppenzuordnung anzeigen" gehört <group name="">– hält weiterhin die vorherige
Firewall Gruppenzuordnung aufgrund des Caches
 </group>


Resolution


Wir haben zwei mögliche Szenarien:

Szenario 1:
– Wenn der firewall IP User-Mapping über User-Agent ID erhält, bedeutet das, dass Sie die folgende Einstellung überprüfen müssen:
Device > User-ID > User-Agent > Open Agent-Einstellung ID > deaktivieren Sie das LDAP Szenario

Benutzeriertes Bild

2:   

– Wenn der firewall Mappings über agentless erhält und Sie Gruppenzuordnungen für LDAP serverprofil verwenden, führen Sie einen CLI Befehl aus, um zu überprüfen.            So zeigen Sie den Zuordnungsstatus der Benutzergruppe <all/group-mapping-name <group mapping="" profile="">> –
Benutzeriertes Bild

Benutzergruppenzuordnungsstatistiken anzeigen > – So überprüfen Sie <all/group-mapping-name <group mapping="" profile="">das
Zeitintervall für das Abrufen der Gruppenzuordnung: Um die Konnektivität mit zu
Benutzeriertes Bild

LDAP bestätigen, aktualisieren Sie die Gruppenzuordnung.
>debug user-id refresh group-mapping <all/group-mapping-name <group mapping="" profile="">></group>
Benutzeriertes Bild

Nach der Aktualisierung wird die erwartete Gruppe abgerufen.</group> </group>

 



Additional Information


Nachdem Sie die Gruppenzuordnung aktualisiert haben, erhalten Sie die folgende Ausgabe:
Benutzeriertes Bild


LDAP Credential Invalid Error tritt auf, nachdem die Aktualisierung erfolgt: Müssen sie überprüfen:
Benutzeriertes Bild

LDAP Anmeldeinformationen sind ungültig, sodass die Gruppenaktualisierung nicht erfolgreich ist. Der enthält jedoch firewall aufgrund des Caches die vorherigen Gruppenzuordnungsinformationen.  


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLeyCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language