認証修飾子
47003
Created On 03/06/19 17:54 PM - Last Modified 10/28/22 21:13 PM
Symptom
認証プロファイル(デバイス>認証プロファイル)内で、サーバに認証要求を送信する前に(必要に応じて)ユーザ入力を変更することができます( LDAP , RADIUS Tacacs+, Kerberos)
「ユーザ名修飾子」の内部では、ドロップダウンメニューをクリックすると3つのオプションが表示されます。
- %USERINPUT%
- %USERDOMAIN%\%USERINPUT%
- %USERINPUT%@%USERDOMAIN%
- なし*
- 「なし」オプションはドロップダウンから利用できず、手動で入力する必要があります。
- 選択した後にこのフィールドを変更することもできます。 たとえば、このフィールドに %@mydomain.com を入力します USERINPUT 。
Cause
| ユーザー名の修飾子 | アクション |
| %USERINPUT% | 未変更のユーザー入力が認証サーバーに送信される |
| %USERDOMAIN%\%USERINPUT% | % USERDOMAIN % 部分は同じ認証プロファイルの下の「ユーザードメイン」フィールドの値と一致します
|
| %USERINPUT%@%USERDOMAIN% | 前の行と同じ動作。唯一の変更は、ドメインが 追加されるということです |
| なし | 「なし」修飾子は、実際にはユーザー入力からドメインの部分を取り除きます (存在する場合) LDAP これは、認証シーケンスの照合用に「ユーザードメイン」フィールドを設定する必要があるが、同時に認証サーバーに要求を送信する前にドメインを削除するシナリオで便利です。 これは手動で入力する必要があります。 |
NOTE: 認証プロファイルの下に入力されたユーザ ドメイン フィールドは、ユーザ ID マッピングに影響を与
える
承認は、[詳細設定] タブの [許可一覧] で認証プロファイルに設定できます。 この認証プロファイルは、指定されたユーザーまたは指定されたグループのユーザーのみが使用できるということです。 許可は、許可リストがある任意のオブジェクトで定義することもできます。 認証サーバーで必要とされる認証サーバーと、承認サーバーで必要とされる認証サーバーとは異なる場合があります。
PAN-OS は、上の表で説明したように、ユーザー名修飾子で定義されている認証サーバーに送信されます。
ただし、承認の場合は、ユーザードメインフィールドの内容の先頭にユーザーが送信した内容 (% % で表されます) USERINPUT を追加し、その結果を使用して Active Directory グループ内のユーザーを検索します。
これは、この使用方法の例です。
A GlobalProtect ポータルとゲートウェイは、一部の Active Directory グループのメンバーのみが接続できるように構成されています。 A ポータルには複数のクライアント構成があり、それぞれに異なるグループに関連付けられた許可リストがあります。 正しいクライアント構成を選択するには、ユーザーがメンバーであるグループを識別する必要があります。 これに対し、認証サーバーが成功するためには特定の形式が必要になる
場合 たとえば、ユーザー ドメイン フィールドに "mydomain" が含まれ、ユーザー名修飾子フィールドに% USERINPUT @mydomain.comが含まれており GlobalProtect 、エージェントが "ユーザー名" で認証を行おうとしている場合 PAN-OS 、認証サーバーにusername@mydomain.comを送信し、"mydomain\username" を使用してこのユーザーが所属するグループを決定します。