LDAP Die Gruppenzuordnung kann einige Gruppen nicht abrufen, wenn Gruppen-Include-Listen verwendet werden

LDAP Die Gruppenzuordnung kann einige Gruppen nicht abrufen, wenn Gruppen-Include-Listen verwendet werden

40500
Created On 12/16/20 22:24 PM - Last Modified 03/26/21 18:50 PM


Symptom




LDAP Gruppenzuordnung konfiguriert mit Include List
( : Device > User Identification > Group Mapping Settings > GUI [group-mapping-configuration] > Group Include List > Included Groups)
" zeigt denZuordnungsstatus <name></name> der Benutzergruppe " zeigt nur wenige konfigurierte Gruppen an.
FW(active)> show user group-mapping state <name> 
Example:
FW(active)> show user group-mapping state Group-Mapping-Configuration

Group Mapping((null), type: active-directory): Group-Mapping-Configuration
        Bind DN    : svc_panldap@company.com
        Base       : DC=company,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 server
                10.0.0.1(389)
                        Last Action Time: 147 secs ago(took 3 secs)
                        Next Action Time: In 3453 secs
        Number of Groups: 1
        cn=domain users,ou=group,dc=company,dc=com    <-- Only 1 group is retrieved when there are many


Das Systemprotokoll zeigt an, dass die Verbindung mit dem Server erfolgreich hergestellt firewall LDAP wird:
FW(active)> show log system direction equal backward subtype equal "userid"
Time Severity Subtype Object EventID ID Description
===============================================================================
xxxx  info     userid   connect 0  ldap cfg Group-Mapping-Configuration connected to server 
                                   10.0.0.1:389, initiated by: 10.0.0.2


Useridd.log zeigt den Fehler "fehlerlos, um Gruppen-obj zu erhalten":
FW(active)> less mp-log useridd.log
xxxx ldap cfg Group-Mapping-Configuration connected to 10.0.0.1:389(index 2)
xxxx Warning:  pan_ldap_ctrl_search_single_group(pan_ldap_ctrl.c:3462): failed to get group
               obj for 'cn=users,cn=group,dc=company,dc=com'


Environment


  • Palo Alto Firewall verwaltet von Panorama .
  • Any PAN-OS
  • LDAP Gruppenzuordnung, konfiguriert mit Gruppen-Include-Liste
  • Die Gruppen-Include-Liste wurde möglicherweise konfiguriert und von Panorama

Cause


  • Die Gruppen-Include-Liste wurde möglicherweise mit einem falschen Zeichen oder einem Gesamtstrukturcontainer konfiguriert, z. B. AD versehentliches Tauschen von " CN " gegen " im OU AD Pfad
  • Überprüfen Sie die Gruppen-Include-Liste, um die Syntax der derzeit konfigurierten Einstellungen zu überprüfen:
    FW(active)> show config merged | match group-include-list

group-include-list [ "cn=Domain Users,ou=group,DC=company,dc=com" "cn=users,cn=group,dc=company,dc=com"];
  • Durchsuchen WEB-UI Sie die LDAP Struktur unter "Verfügbare Gruppen", und überprüfen Sie die tatsächlichen Gruppennamen, die vom Server zurückgegeben LDAP werden:
ldap-tree-in-webui
  • Im obigen sehen wir, dass die "Included Group" als "cn=users,cn=group,dc=company,dc=com" konfiguriert wurde, aber die vom Server zurückgegebene Gruppe LDAP ist "cn=users,ou=group,dc=company,dc=com"
  • Diese Fehlkonfiguration tritt eher auf, wenn der Administrator die Group-Include-Liste auf Panorama konfiguriert, wobei es nicht möglich ist, den LDAP Strukturbrowser zum Suchen verfügbarer Gruppen zu verwenden, und stattdessen die Liste manuell konfiguriert werden muss.

Resolution


Korrigieren Sie die Konfiguration in der Gruppen-Include-Liste, um auf die Gruppe mit den richtigen Syntax- und Benennungskonventionen zu verweisen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBzpCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language