Gruppen in der Include-Liste können nicht aus dem GUI mit OKTA LDAP
12739
Created On 02/26/19 20:33 PM - Last Modified 03/26/21 18:20 PM
Symptom
Es können keine Gruppen in der Includeliste aus dem mit dem konfigurierten hinzugefügt Firewall GUI OKTA LDAP werden.
Environment
- PAN-OS Version 8.0 oder höher.
- Palo Alto Firewall .
- LDAP Integration OKTA mit Hilfe von Gruppenzuordnungseinstellungen.
Cause
Firewall GUI unterstützt das Hinzufügen von Gruppenfiltern für die Gruppenzuordnungsliste nicht, wenn OKTA sie für verwendet LDAP wird. Dies liegt daran, dass die Abfragen zu komplex für Die Okta-Schnittstelle sind.
Resolution
Durch Konfigurieren der Gruppenzuordnungsliste über CLI Behebung des Problems.
Beispiel unten:
- Von CLI , in den Konfigurationsmodus:
> configure Entering configuration mode [edit] admin@Lab197-110-PA-VM#
- Konfigurieren der Include-Liste über den Befehl set:
# set group-mapping "Okta LDAP Silksec-s1" group-object groupofuniquenames # set group-mapping "Okta LDAP Silksec-s1" group-member uniquemember # set group-mapping "Okta LDAP Silksec-s1" user-object inetorgperson # set group-mapping "Okta LDAP Silksec-s1" user-name uid # set group-mapping "Okta LDAP Silksec-s1" server-profile "Okta LDAP Silksec-s1" # set group-mapping "Okta LDAP Silksec-s1" group-name cn # set group-mapping "Okta LDAP Silksec-s1" email mail # set group-mapping "Okta LDAP Silksec-s1" disabled no # set group-mapping "Okta LDAP Silksec-s1" group-include-list [ cn=everyone,ou=groups,dc=silliker- s1,dc=oktapreview,dc=com "cn=test group,ou=groups,dc=silliker-s1,dc=oktapreview,dc=com" ]
3. Commit-Änderungen und Beenden des Konfigurationsmodus