当用户属于多个域时,身份验证序列中的身份验证配置文件选择
1568
Created On 07/31/20 19:07 PM - Last Modified 07/07/25 20:44 PM
Symptom
- 最终用户是多个域的一部分,使用相同的登录凭据登录域。
- 例如;用户1 是域 1、域 2 和域 3 的一部分。
身份验证序列遵循顺序:
LDAP 域 1
LDAP 域 2 域
LDAP 3
- 当用户尝试使用用户名(user1)登录域 2 时,将针对第一个域 (域 1) 进行身份验证。
Environment
PAN OS 8.1
LDAP 用于 GlobalProtect 门户登录的认证。
Cause
由于用户使用的登录凭据跨域相同,因此它与序列中的第一个身份验证配置文件匹配,并验证用户。
Resolution
- 不支持使用用户名单独登录,强制用户直接按顺序对正确的身份验证配置文件进行强制。
- 用户在登录时必须以"域名/用户名"格式输入所需的域名,以便 firewall 将域名与身份验证配置文件中指定的域名匹配。