LDAP Die Gruppenzuordnung kann einige Gruppen nicht abrufen, wenn Gruppen-Include-Listen verwendet werden
56177
Created On 12/16/20 22:24 PM - Last Modified 03/26/21 18:50 PM
Symptom
LDAP Gruppenzuordnung konfiguriert mit Include List
( : Device > User Identification > Group Mapping Settings > GUI [group-mapping-configuration] > Group Include List > Included Groups)
" zeigt denZuordnungsstatus <name></name> der Benutzergruppe " zeigt nur wenige konfigurierte Gruppen an.
FW(active)> show user group-mapping state <name>
Example:
FW(active)> show user group-mapping state Group-Mapping-Configuration
Group Mapping((null), type: active-directory): Group-Mapping-Configuration
Bind DN : svc_panldap@company.com
Base : DC=company,DC=com
Group Filter: (None)
User Filter: (None)
Servers : configured 1 server
10.0.0.1(389)
Last Action Time: 147 secs ago(took 3 secs)
Next Action Time: In 3453 secs
Number of Groups: 1
cn=domain users,ou=group,dc=company,dc=com <-- Only 1 group is retrieved when there are manyDas Systemprotokoll zeigt an, dass die Verbindung mit dem Server erfolgreich hergestellt firewall LDAP wird:
FW(active)> show log system direction equal backward subtype equal "userid"
Time Severity Subtype Object EventID ID Description
===============================================================================
xxxx info userid connect 0 ldap cfg Group-Mapping-Configuration connected to server
10.0.0.1:389, initiated by: 10.0.0.2
Useridd.log zeigt den Fehler "fehlerlos, um Gruppen-obj zu erhalten":
FW(active)> less mp-log useridd.log
xxxx ldap cfg Group-Mapping-Configuration connected to 10.0.0.1:389(index 2)
xxxx Warning: pan_ldap_ctrl_search_single_group(pan_ldap_ctrl.c:3462): failed to get group
obj for 'cn=users,cn=group,dc=company,dc=com'
Environment
- Palo Alto Firewall verwaltet von Panorama .
- Any PAN-OS
- LDAP Gruppenzuordnung, konfiguriert mit Gruppen-Include-Liste
- Die Gruppen-Include-Liste wurde möglicherweise konfiguriert und von Panorama
Cause
- Die Gruppen-Include-Liste wurde möglicherweise mit einem falschen Zeichen oder einem Gesamtstrukturcontainer konfiguriert, z. B. AD versehentliches Tauschen von " CN " gegen " im OU AD Pfad
- Überprüfen Sie die Gruppen-Include-Liste, um die Syntax der derzeit konfigurierten Einstellungen zu überprüfen:
FW(active)> show config merged | match group-include-list group-include-list [ "cn=Domain Users,ou=group,DC=company,dc=com" "cn=users,cn=group,dc=company,dc=com"]; - Durchsuchen WEB-UI Sie die LDAP Struktur unter "Verfügbare Gruppen", und überprüfen Sie die tatsächlichen Gruppennamen, die vom Server zurückgegeben LDAP werden:
- Im obigen sehen wir, dass die "Included Group" als "cn=users,cn=group,dc=company,dc=com" konfiguriert wurde, aber die vom Server zurückgegebene Gruppe LDAP ist "cn=users,ou=group,dc=company,dc=com"
- Diese Fehlkonfiguration tritt eher auf, wenn der Administrator die Group-Include-Liste auf Panorama konfiguriert, wobei es nicht möglich ist, den LDAP Strukturbrowser zum Suchen verfügbarer Gruppen zu verwenden, und stattdessen die Liste manuell konfiguriert werden muss.
Resolution
Korrigieren Sie die Konfiguration in der Gruppen-Include-Liste, um auf die Gruppe mit den richtigen Syntax- und Benennungskonventionen zu verweisen.