Impossible d’ajouter des groupes dans la liste Inclure de GUI la OKTA LDAP
12761
Created On 02/26/19 20:33 PM - Last Modified 03/26/21 18:20 PM
Symptom
Impossible d’ajouter des groupes dans la liste d’inclure à partir Firewall GUI de la avec le OKTA LDAP configuré.
Environment
- PAN-OS version 8.0 ou plus.
- Palo Alto Firewall .
- LDAP l’intégration OKTA à l’aide de paramètres de cartographie de groupe.
Cause
Firewall GUI ne prend pas en charge l’ajout de filtres de groupe pour la cartographie de groupe inclure la OKTA liste lorsqu’il est utilisé pour LDAP . C’est parce que les requêtes sont trop complexes pour l’interface Okta
Resolution
La configuration de la cartographie de groupe inclut la liste via CLI résout le problème.
Exemple ci-dessous:
- À partir CLI de , entrez le mode de configuration:
> configure Entering configuration mode [edit] admin@Lab197-110-PA-VM#
- Configurez la liste via commande définie :
# set group-mapping "Okta LDAP Silksec-s1" group-object groupofuniquenames # set group-mapping "Okta LDAP Silksec-s1" group-member uniquemember # set group-mapping "Okta LDAP Silksec-s1" user-object inetorgperson # set group-mapping "Okta LDAP Silksec-s1" user-name uid # set group-mapping "Okta LDAP Silksec-s1" server-profile "Okta LDAP Silksec-s1" # set group-mapping "Okta LDAP Silksec-s1" group-name cn # set group-mapping "Okta LDAP Silksec-s1" email mail # set group-mapping "Okta LDAP Silksec-s1" disabled no # set group-mapping "Okta LDAP Silksec-s1" group-include-list [ cn=everyone,ou=groups,dc=silliker- s1,dc=oktapreview,dc=com "cn=test group,ou=groups,dc=silliker-s1,dc=oktapreview,dc=com" ]
3. Valider les modifications et le mode de configuration de sortie