No se pueden agregar grupos en la lista Incluir de GUI la OKTA LDAP
12739
Created On 02/26/19 20:33 PM - Last Modified 03/26/21 18:20 PM
Symptom
No se pueden agregar grupos en la lista de incluir desde el Firewall GUI con el OKTA LDAP configurado.
Environment
- PAN-OS versión 8.0 o superior.
- Palo Alto Firewall .
- LDAP integración mediante la OKTA configuración de asignación de grupos.
Cause
Firewall GUI no admite la adición de filtros de grupo para la asignación de grupos incluyen la lista cuando OKTA se utiliza para LDAP . Esto se debe a que las consultas son demasiado complejas para la interfaz Okta
Resolution
La configuración de la asignación de grupo incluye la lista a través CLI de resuelve el problema.
Ejemplo a continuación:
- Desde CLI , ingrese el modo de configuración:
> configure Entering configuration mode [edit] admin@Lab197-110-PA-VM#
- Configure la lista de inclusión vía el comando set:
# set group-mapping "Okta LDAP Silksec-s1" group-object groupofuniquenames # set group-mapping "Okta LDAP Silksec-s1" group-member uniquemember # set group-mapping "Okta LDAP Silksec-s1" user-object inetorgperson # set group-mapping "Okta LDAP Silksec-s1" user-name uid # set group-mapping "Okta LDAP Silksec-s1" server-profile "Okta LDAP Silksec-s1" # set group-mapping "Okta LDAP Silksec-s1" group-name cn # set group-mapping "Okta LDAP Silksec-s1" email mail # set group-mapping "Okta LDAP Silksec-s1" disabled no # set group-mapping "Okta LDAP Silksec-s1" group-include-list [ cn=everyone,ou=groups,dc=silliker- s1,dc=oktapreview,dc=com "cn=test group,ou=groups,dc=silliker-s1,dc=oktapreview,dc=com" ]
3. Confirmar cambios y salir del modo de configuración