身份验证修改器
57615
Created On 03/06/19 17:54 PM - Last Modified 10/28/22 21:13 PM
Symptom
在身份验证配置文件(设备>身份验证配置文件)中,我们可以在向服务器发送身份验证请求之前修改用户输入(如有必要),在 LDAP RADIUS
"用户名修改器"内,当您单击下拉菜单时,您将看到 3 个选项:
- %USERINPUT%
- %USERDOMAIN%\%USERINPUT%
- %USERINPUT%@%USERDOMAIN%
- 无*
- "无"选项无法通过下拉,并且必须手动输入。
- 在进行选择后,您也可以修改此字段。 例如,您可以进入此字段 USERINPUT %%@mydomain.com。
Cause
| 用户名修改器 | 行动 |
| %USERINPUT% | 未修改的用户输入被发送到身份验证服务器 |
| %USERDOMAIN%\%USERINPUT% | USERDOMAIN% 部分将匹配同一身份验证配置文件下的"用户域"字段值
|
| %USERINPUT%@%USERDOMAIN% | 与前一行相同的行为;唯一的变化是域被 附加 |
| 没有 | "无"修饰符实际上会从"用户输入(如果有的话)"中剥离域部分,用于 LDAP 配置文件 。在我们需要填充"用户域"字段以进行身份验证序列匹配的情况下,这非常有用,但希望在将请求发送到身份验证服务器之前剥离该域名-这意味着空"用户域"字段。 这必须手动输入。 |
NOTE: 身份验证配置文件下填充的用户域名字段将影响用户 ID 映射
用户名修改器字段用于身份验证和授权的情况如何?
授权可设置在高级选项卡下的"允许列表"中的认证配置文件中。 其理念是,只有指定组中的指定用户或用户才能使用此身份验证配置文件。 授权也可以在有允许列表的任何对象中定义。 有时,身份验证服务器要求的与授权服务器要求的不同。
PAN-OS 将提交到由用户名修改器定义的身份验证服务器,如上表所述。
但是,为了获得授权,它将把用户域名字段的内容预先用于用户提交的内容,该域名以 %表示 USERINPUT ,然后使用该结果在"活动目录"组中查找用户。
这是如何使用此用途的示例。
A GlobalProtect 门户和网关配置仅允许某些活动目录组的成员连接。 A 门户可能具有多个客户端配置,每个配置都有与不同组关联的"允许列表"。 为了选择正确的客户端配置,必须识别用户为成员的组。 相比之下,身份验证服务器可能需要特定格式才能成功身份验证
例如,如果用户域名字段包含"mydomain",而用户名修改器字段包含 USERINPUT % %@mydomain.com,并且 GlobalProtect 代理正在尝试使用"用户名"进行身份验证,则 PAN-OS 将向身份验证服务器提交username@mydomain.com,然后使用"mydomain-用户名"来确定此用户是该用户的成员的组