Modificateurs d’authentification
47010
Created On 03/06/19 17:54 PM - Last Modified 10/28/22 21:13 PM
Symptom
Dans les profils d’authentification, (Device > Authentication Profile) nous pouvons modifier l’entrée de l’utilisateur (si nécessaire) avant d’envoyer une demande d’authentification au serveur ( , LDAP RADIUS Tacacs +, Kerberos) À
l’intérieur du « Changeur de nom d’utilisateur » vous verrez 3 options lorsque vous cliquez sur le menu drop down:
- %USERINPUT%
- %USERDOMAIN%\%USERINPUT%
- %USERINPUT%@%USERDOMAIN%
- Aucun*
- L’option « Aucun » n’est pas disponible via le drop down, et doit être tapée manuellement.
- Vous pouvez également modifier ce champ après avoir fait une sélection. Par exemple, vous pouvez entrer dans ce champ % USERINPUT %@mydomain.com.
Cause
| Modificateur de nom d’utilisateur | Action |
| %USERINPUT% | L’entrée utilisateur non modifiée est envoyée au serveur d’authentification |
| %USERDOMAIN%\%USERINPUT% | % USERDOMAIN % partie correspondra à la valeur du champ « Domaine utilisateur » sous le même profil auth
|
| %USERINPUT%@%USERDOMAIN% | Même comportement que dans la rangée précédente; le seul changement est que le domaine est annexé |
| Aucun | « Aucun » modificateur sera effectivement dépouiller la partie de domaine de l’entrée utilisateur (le cas échéant) pour le profil Ceci est utile dans les scénarios où nous avons besoin LDAP d’avoir « Domaine utilisateur » champ peuplé pour l’appariement séquence d’authentification, mais que vous souhaitez dépouiller le domaine avant d’envoyer la demande au serveur d’authentification en même temps - ce qui impliquerait vide « Domaine utilisateur » champ. Cela doit être tapé manuellement. |
NOTE: Champ de domaine utilisateur peuplé sous profil d’authentification influencera les mappages Utilisateur-Id
Comment le champ Modificateur de nom d’utilisateur est-il utilisé pour l’authentification et l’autorisation ?
L’autorisation peut être configuré dans un profil d’authentification dans la liste d’autorisation sous l’onglet Avancé. L’idée est que seuls les utilisateurs spécifiés ou les utilisateurs dans des groupes spécifiés peuvent utiliser ce profil d’authentification. L’autorisation peut également être définie dans n’importe quel objet lorsqu’il y a une liste d’autorisation. Parfois, ce qui est exigé par le serveur d’authentification est différent de celui qui est exigé par le serveur d’autorisation.
PAN-OS soumettra au serveur authentificateur ce qui est défini par le modificateur de nom d’utilisateur, tel qu’expliqué dans le tableau ci-dessus.
Toutefois, pour autorisation, il prépendra le contenu du champ Domaine utilisateur à celui qui a été soumis par l’utilisateur, qui est représenté par % % , puis USERINPUT utilisera ce résultat pour trouver l’utilisateur dans les groupes d’annuaire actif.
C’est un exemple de la façon dont cela est utilisé.
A GlobalProtect Portal et Gateway sont configurés pour permettre uniquement aux membres de certains groupes d’annuaires actifs de se connecter. A le portail peut avoir plusieurs configurations de client, chacune d’entre lesquelles a une liste de permis qui est associée à différents groupes. Il est nécessaire d’identifier le groupe auquel l’utilisateur est membre afin de choisir le bon client config. En revanche, le serveur authentificateur peut nécessiter un format spécifique pour que l’authentification réussisse Par exemple, si le champ Domaine utilisateur contient « mydomain » et que le champ Modificateur de nom
d’utilisateur contient % USERINPUT %@mydomain.com, et qu’un GlobalProtect agent tente de s’authentifier avec « nom d’utilisateur », PAN-OS puis soumettra des username@mydomain.com au serveur authentificateur et utilisera ensuite « mydomain\username » pour déterminer le groupe auquel cet utilisateur est membre.