Modificadores de autenticación
57603
Created On 03/06/19 17:54 PM - Last Modified 10/28/22 21:13 PM
Symptom
Dentro de los perfiles de autenticación,(perfil de autenticación > dispositivo)podemos modificar la entrada del usuario (si es necesario) antes de enviar la solicitud de autenticación al servidor ( LDAP , , RADIUS Tacacs +, Kerberos)
Dentro del "Modificador de nombre de usuario" verá 3 opciones al hacer clic en el menú desplegable:
- %USERINPUT%
- %USERDOMAIN%\%USERINPUT%
- %USERINPUT%@%USERDOMAIN%
- Ninguno*
- La opción "Ninguno" no está disponible a través del menú desplegable y debe escribirse manualmente.
- También puede modificar este campo después de realizar una selección. Por ejemplo, puede introducir en este campo % USERINPUT %@mydomain.com.
Cause
| Modificador de nombre de usuario | Acción |
| %USERINPUT% | La entrada de usuario no modificado se envía al servidor de autenticación |
| %USERDOMAIN%\%USERINPUT% | % USERDOMAIN % de pieza coincidirá con el valor del campo "Dominio de usuario" bajo el mismo perfil de autenticación
|
| %USERINPUT%@%USERDOMAIN% | El mismo comportamiento que en la fila anterior; el único cambio es que el dominio se anexa |
| Ninguno | Modificador "Ninguno" realmente quitará la parte de dominio de entrada de usuario (si existe) para LDAP el perfil Esto es útil en escenarios donde necesitamos tener el campo "Dominio de usuario" rellenado para coincidencia de secuencia de autenticación, pero queremos quitar el dominio antes de enviar la solicitud al servidor de autenticación al mismo tiempo , lo que implicaría el campo Vacío "Dominio de usuario". Esto debe escribirse manualmente. |
NOTE: El campo Dominio de usuario rellenado bajo perfil de autenticación influirá en las asignaciones de Id de usuario
¿Cómo se utiliza el campo Modificador de nombre de usuario para la autenticación y la autorización?
La autorización se puede configurar en un perfil de autenticación en la lista de permitir bajo la lengueta avanzada. La idea es que solo los usuarios o usuarios especificados de grupos especificados puedan usar este perfil de autenticación. La autorización también se puede definir en cualquier objeto donde haya una lista de permitidos. A veces, lo que requiere el servidor de autenticación es diferente de lo que requiere el servidor de autorización.
PAN-OS se someterá al servidor de autenticación que se define por modificador de nombre de usuario, como se explica en la tabla anterior.
Sin embargo, para la autorización, antepondrá el contenido del campo Dominio de usuario al que envió el usuario, que está representado por % USERINPUT %, y, a continuación, utilizará ese resultado para buscar al usuario en grupos de Active Directory.
Este es un ejemplo de cómo se utiliza esto.
A GlobalProtect Portal y puerta de enlace están configurados para permitir que solo se conecten los miembros de algunos grupos de Active Directory. A portal puede tener varias configuraciones de cliente, cada una de las cuales tiene una lista de permitidos que está asociada a diferentes grupos. Es necesario identificar el grupo al que el usuario es miembro para elegir la configuración correcta del cliente. Por el contrario, el servidor de autenticación puede requerir un formato específico para que la autenticación se realice correctamente
Por ejemplo, si el campo Dominio de usuario contiene "mydomain" y el campo Modificador de nombre de usuario contiene % USERINPUT %@mydomain.com, y un GlobalProtect agente está intentando autenticarse con "nombre de usuario", a continuación, PAN-OS enviará username@mydomain.com al servidor de autenticación y, a continuación, utilizará "mydomain\username" para determinar el grupo al que este usuario es miembro