Asignación de grupo después de que la actualización no cambie
95835
Created On 04/18/19 14:19 PM - Last Modified 03/26/21 17:36 PM
Symptom
A el usuario puede agregar una nueva asignación de grupo o información de asignación de grupo existente en un firewall , que está funcionando bien, pero más tarde muestra la asignación de grupo en la interfaz web de la que incluye una lista no a través de firewall CLI comandos, "mostrar el nombre del grupo de usuarios < group name > ."
Desde la firewall interfaz web, puede mostrar que la asignación de grupo incluye una lista, pero desde CLI comandos, si intenta verificar "mostrar el nombre del grupo de < group name > usuarios", se mostrará como si el nombre del grupo no existiera en el vsys-1 de destino.
Environment
Todos los cortafuegos
Cause
– El usuario no puede referir o llamar a ese nombre de grupo en ningún lugar del firewall (perfil de autenticación, policías de seguridad, protección global)
– El administrador no puede comprobar que el usuario pertenece a ese nombre de grupo en particular a través de CLI "mostrar asignación de grupo de <group name="">usuarios" – todavía mantiene la
asignación de grupos anterior Firewall debido
</group> a la caché
Resolution
Tenemos dos escenarios posibles:
Escenario 1:
– Si el firewall usuario está recibiendo asignación de usuario a través del agente de IP ID usuario, eso significa que necesita verificar la siguiente configuración:
dispositivo > usuario-ID > usuario- ID agente > configuración de agente abierto > desmarcar el escenario "Usar como LDAP proxy"
2:
– Si las firewall asignaciones se están obteniendo a través de sin agente y está utilizando la asignación de grupo para el LDAP perfil del servidor, ejecute un comando para CLI verificar. Para mostrar el estado de asignación de grupos de usuarios <all/group-mapping-name <group mapping="" profile="">> – Mostrar estadísticas de asignación de
grupos de usuarios > – Para comprobar el intervalo de tiempo de obtención de asignación <all/group-mapping-name <group mapping="" profile="">de
grupo: para confirmar la conectividad
con , actualice la asignación de LDAP grupo.
>debug user-id refresh group-mapping <all/group-mapping-name <group mapping="" profile="">></group>
Después de actualizar se recuperará el grupo esperado.</group> </group>
Additional Information
Después de actualizar la asignación de grupos, obtendrá la siguiente salida:
LDAP error no válido de credenciales se produce después de que se produce la actualización: debe comprobar:
LDAP las credenciales no son válidas, por lo que la actualización del grupo no se realiza correctamente. Pero el firewall mantendrá su información de asignación de grupo anterior debido a la memoria caché.