Authentifizierungsmodifizierer
47014
Created On 03/06/19 17:54 PM - Last Modified 10/28/22 21:13 PM
Symptom
In Authentifizierungsprofilen (Device > Authentication Profile) können wir Benutzereingaben (falls erforderlich) ändern, bevor wir eine Authentifizierungsanforderung an den Server senden ( , , LDAP RADIUS Tacacs+, Kerberos)
Im Inneren des "Benutzername-Modifizierers" sehen Sie 3 Optionen, wenn Sie auf das Dropdown-Menü klicken:
- %USERINPUT%
- %USERDOMAIN%\%USERINPUT%
- %USERINPUT%@%USERDOMAIN%
- Keine*
- Die Option "Keine" ist über die Dropdown-Liste nicht verfügbar und muss manuell eingegeben werden.
- Sie können dieses Feld auch ändern, nachdem Sie eine Auswahl getroffen haben. Sie können z. B. in dieses Feld % USERINPUT %-mydomain.com eingeben.
Cause
| Benutzername Modifier | Aktion |
| %USERINPUT% | Unveränderte Benutzereingabe wird an den Authentifizierungsserver gesendet |
| %USERDOMAIN%\%USERINPUT% | % USERDOMAIN % Teil entspricht dem Wert des Felds "Benutzerdomäne" unter demselben Auth-Profil
|
| %USERINPUT%@%USERDOMAIN% | Das gleiche Verhalten wie in der vorherigen Zeile; Die einzige Änderung besteht darin, dass die Domäne angehängt wird |
| nichts | Modifikator "Keine" entfernt den Domänenteil tatsächlich aus Der Benutzereingabe (falls vorhanden) für LDAP profil Dies ist in Szenarien nützlich, in denen das Feld "Benutzerdomäne" für den Authentifizierungssequenzabgleich aufgefüllt werden muss, die Domäne jedoch vor dem gleichzeitigen Senden der Anforderung an den Authentifizierungsserver entfernt werden soll – was das Feld "Benutzerdomäne" implizieren würde. Dies muss manuell eingegeben werden. |
NOTE: Das unter dem Authentifizierungsprofil aufgefüllte Benutzerdomänenfeld beeinflusst Benutzer-Id-Zuordnungen
Wie wird das FeldBenutzername-Modifier für die Authentifizierung und Autorisierung verwendet?
Die Autorisierung kann in einem Authentifizierungsprofil in der Liste Zulassen unter der Registerkarte Erweitert eingerichtet werden. Die Idee ist, dass nur bestimmte Benutzer oder Benutzer in bestimmten Gruppen dieses Authentifizierungsprofil verwenden dürfen. Die Autorisierung kann auch in jedem Objekt definiert werden, in dem eine Zulassungsliste vorhanden ist. Manchmal unterscheidet sich das, was vom atheifizierenden Server benötigt wird, von dem, was vom Autorisierungsserver benötigt wird.
PAN-OS übermittelt dem authentifizierenden Server das, was durch Username Modifier definiert ist, wie in der obigen Tabelle erläutert.
Zur Autorisierung wird jedoch der Inhalt des Felds Benutzerdomäne dem vom Benutzer übermittelten Feld vorangestellt, der durch % % dargestellt USERINPUT wird, und dann dieses Ergebnis verwenden, um den Benutzer in Active Directory-Gruppen zu suchen.
Dies ist ein Beispiel dafür, wie dies verwendet wird.
A GlobalProtect Portal und Gateway sind so konfiguriert, dass nur Mitglieder einiger Active Directory-Gruppen eine Verbindung herstellen können. A Das Portal verfügt möglicherweise über mehrere Clientkonfigurationen, von denen jede über eine Zulassungsliste verfügt, die verschiedenen Gruppen zugeordnet ist. Es ist notwendig, die Gruppe zu identifizieren, der der Benutzer angehört, um die richtige Clientkonfiguration auszuwählen. Im Gegensatz dazu kann der Authentifizierungsserver ein bestimmtes Format benötigen, damit die Authentifizierung erfolgreich ist. Wenn
z. B. das Feld Benutzerdomäne "Mydomain" und das Feld Benutzername-Modifier USERINPUT %%-mydomain.comenthält und ein GlobalProtect Agent versucht, sich mit "Benutzername" zu authentifizieren, sendet er PAN-OS username@mydomain.com an den Authentifizierungsserver und verwendet dann "mydomain-Benutzername", um die Gruppe zu bestimmen, der dieser Benutzer angehört.