Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Asignación de grupo después de que la actualización no cambie - Knowledge Base - Palo Alto Networks

Asignación de grupo después de que la actualización no cambie

95835
Created On 04/18/19 14:19 PM - Last Modified 03/26/21 17:36 PM


Symptom


A el usuario puede agregar una nueva asignación de grupo o información de asignación de grupo existente en un firewall , que está funcionando bien, pero más tarde muestra la asignación de grupo en la interfaz web de la que incluye una lista no a través de firewall CLI comandos, "mostrar el nombre del grupo de usuarios < group name > ."

Desde la firewall interfaz web, puede mostrar que la asignación de grupo incluye una lista, pero desde CLI comandos, si intenta verificar "mostrar el nombre del grupo de < group name > usuarios", se mostrará como si el nombre del grupo no existiera en el vsys-1 de destino.


 



Environment


Todos los cortafuegos

Cause


– El usuario no puede referir o llamar a ese nombre de grupo en ningún lugar del firewall (perfil de autenticación, policías de seguridad, protección global)
– El administrador no puede comprobar que el usuario pertenece a ese nombre de grupo en particular a través de CLI "mostrar asignación de grupo de <group name="">usuarios" – todavía mantiene la
asignación de grupos anterior Firewall debido
 </group> a la caché


Resolution


Tenemos dos escenarios posibles:

Escenario 1:
– Si el firewall usuario está recibiendo asignación de usuario a través del agente de IP ID usuario, eso significa que necesita verificar la siguiente configuración:
dispositivo > usuario-ID > usuario- ID agente > configuración de agente abierto > desmarcar el escenario "Usar como LDAP proxy"

Imagen de usuario añadido

2:   

– Si las firewall asignaciones se están obteniendo a través de sin agente y está utilizando la asignación de grupo para el LDAP perfil del servidor, ejecute un comando para CLI verificar.            Para mostrar el estado de asignación de grupos de usuarios <all/group-mapping-name <group mapping="" profile="">> – Mostrar estadísticas de asignación de
Imagen de usuario añadido

grupos de usuarios > – Para comprobar el intervalo de tiempo de obtención de asignación <all/group-mapping-name <group mapping="" profile="">de
grupo: para confirmar la conectividad
Imagen de usuario añadido

con , actualice la asignación de LDAP grupo.
>debug user-id refresh group-mapping <all/group-mapping-name <group mapping="" profile="">></group>
Imagen de usuario añadido

Después de actualizar se recuperará el grupo esperado.</group> </group>

 



Additional Information


Después de actualizar la asignación de grupos, obtendrá la siguiente salida:
Imagen de usuario añadido


LDAP error no válido de credenciales se produce después de que se produce la actualización: debe comprobar:
Imagen de usuario añadido

LDAP las credenciales no son válidas, por lo que la actualización del grupo no se realiza correctamente. Pero el firewall mantendrá su información de asignación de grupo anterior debido a la memoria caché.  


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLeyCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language