Gruppenzuordnung nach Aktualisierung nicht geändert
85404
Created On 04/18/19 14:19 PM - Last Modified 03/26/21 17:38 PM
Symptom
A Benutzer kann eine neue Gruppenzuordnung oder vorhandene Gruppenzuordnungsinformationen in einem firewall hinzufügen, was einwandfrei funktioniert, aber später zeigt er die Gruppenzuordnung auf der Weboberfläche des, das firewall eine Liste enthält, die keine Liste enthält, nicht über CLI Befehle, "Benutzergruppenname < group name > anzeigen".
Von der firewall Weboberfläche aus kann es zeigen, dass die Gruppenzuordnung eine Liste enthält, aber CLI wenn Sie versuchen, "Benutzergruppennamen anzeigen" zu überprüfen, < group name > wird angezeigt, als ob der Gruppenname auf dem Ziel vsys-1 nicht vorhanden ist.
Environment
Alle Firewalls
Cause
– Der Benutzer darf diesen Gruppennamen nirgendwo im firewall (Auth-Profil, Sicherheitsrichtlinien, Globaler Schutz) – Admin nicht
überprüfen können, ob der Benutzer zu diesem bestimmten Gruppennamen über CLI "Benutzergruppenzuordnung anzeigen" gehört <group name="">– hält weiterhin die vorherige
Firewall Gruppenzuordnung aufgrund des Caches
</group>
Resolution
Wir haben zwei mögliche Szenarien:
Szenario 1:
– Wenn der firewall IP User-Mapping über User-Agent ID erhält, bedeutet das, dass Sie die folgende Einstellung überprüfen müssen:
Device > User-ID > User-Agent > Open Agent-Einstellung ID > deaktivieren Sie das LDAP Szenario
2:
– Wenn der firewall Mappings über agentless erhält und Sie Gruppenzuordnungen für LDAP serverprofil verwenden, führen Sie einen CLI Befehl aus, um zu überprüfen. So zeigen Sie den Zuordnungsstatus der Benutzergruppe <all/group-mapping-name <group mapping="" profile="">> –
Benutzergruppenzuordnungsstatistiken anzeigen > – So überprüfen Sie <all/group-mapping-name <group mapping="" profile="">das
Zeitintervall für das Abrufen der Gruppenzuordnung: Um die Konnektivität mit zu
LDAP bestätigen, aktualisieren Sie die Gruppenzuordnung.
>debug user-id refresh group-mapping <all/group-mapping-name <group mapping="" profile="">></group>
Nach der Aktualisierung wird die erwartete Gruppe abgerufen.</group> </group>
Additional Information
Nachdem Sie die Gruppenzuordnung aktualisiert haben, erhalten Sie die folgende Ausgabe:
LDAP Credential Invalid Error tritt auf, nachdem die Aktualisierung erfolgt: Müssen sie überprüfen:
LDAP Anmeldeinformationen sind ungültig, sodass die Gruppenaktualisierung nicht erfolgreich ist. Der enthält jedoch firewall aufgrund des Caches die vorherigen Gruppenzuordnungsinformationen.