刷新后未更改的组映射
85402
Created On 04/18/19 14:19 PM - Last Modified 03/26/21 17:37 PM
Symptom
A 用户可以在 a 中添加新的组映射或现有组映射信息 firewall ,该信息工作正常,但随后它显示的 Web 界面上的组映射 firewall 包括一个列表,而不是通过 CLI 命令,"显示用户组名 < group name > "。
从 firewall Web 界面中,它可能会显示组映射包含列表,但从 CLI 命令中,如果您尝试验证"显示用户组名 < group name > ",它将显示目标 vsys-1 上不存在的组名。
Environment
所有防火墙
Cause
–用户不得在 firewall (Auth 配置文件、安全政策、全球保护)的任何地方引用或调用该
组名- 管理员无法通过 CLI "显示用户组映射"检查用户是否属于该特定组名 -<group name="">
Firewall 由于缓存
,仍保留以前的组映射 </group>
Resolution
我们有两种可能的情况
:场景 1:–
如果 firewall IP 通过用户代理获取用户映射 ID ,这意味着您需要验证以下设置:
设备>用户ID->用户 ID 代理>打开的代理设置>取消选中 LDAP "用作代理"
场景 2:–
如果 firewall 通过无代理获取映射,并且您正在使用服务器配置文件的组映射 LDAP ,请执行 CLI 命令进行验证。 要显示用户组映射状态 <all/group-mapping-name <group mapping="" profile="">> -
显示用户组映射统计 <all/group-mapping-name <group mapping="" profile="">>
- 以验证组映射获取时间间隔:
要确认连接 LDAP ,请刷新组映射。
>dbug 用户 ID 刷新组映射 <all/group-mapping-name <group mapping="" profile="">></group>
刷新后,将提取预期组。</group> </group>
Additional Information
刷新组映射后,您将获得以下输出:
LDAP 刷新发生后会出现凭据无效错误:需要验证:
LDAP 凭据无效,因此组刷新不成功。 但是, firewall 由于缓存的原因,它将保留其以前的组映射信息。