LDAP la asignación de grupos no puede recuperar algunos grupos cuando se usan listas de grupo-incluir

LDAP la asignación de grupos no puede recuperar algunos grupos cuando se usan listas de grupo-incluir

40494
Created On 12/16/20 22:24 PM - Last Modified 03/26/21 18:50 PM


Symptom




LDAP Asignación de grupo configurada con la lista de inclusión
GUI (: > la identificación del usuario > configuración de asignación de grupo > [configuración de asignación de grupo] > lista de inclusión de grupo > grupos incluidos)
"mostrar estado de asignación de <name></name> grupo de usuarios " muestra solo unos pocos grupos configurados.
FW(active)> show user group-mapping state <name> 
Example:
FW(active)> show user group-mapping state Group-Mapping-Configuration

Group Mapping((null), type: active-directory): Group-Mapping-Configuration
        Bind DN    : svc_panldap@company.com
        Base       : DC=company,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 server
                10.0.0.1(389)
                        Last Action Time: 147 secs ago(took 3 secs)
                        Next Action Time: In 3453 secs
        Number of Groups: 1
        cn=domain users,ou=group,dc=company,dc=com    <-- Only 1 group is retrieved when there are many


El registro del sistema muestra que el firewall se conecta correctamente al LDAP servidor:
FW(active)> show log system direction equal backward subtype equal "userid"
Time Severity Subtype Object EventID ID Description
===============================================================================
xxxx  info     userid   connect 0  ldap cfg Group-Mapping-Configuration connected to server 
                                   10.0.0.1:389, initiated by: 10.0.0.2


Useridd.log muestra el error "failed to get group obj":
FW(active)> less mp-log useridd.log
xxxx ldap cfg Group-Mapping-Configuration connected to 10.0.0.1:389(index 2)
xxxx Warning:  pan_ldap_ctrl_search_single_group(pan_ldap_ctrl.c:3462): failed to get group
               obj for 'cn=users,cn=group,dc=company,dc=com'


Environment


  • Palo Alto Firewall gestionado por Panorama .
  • UnaNY PAN-OS
  • LDAP asignación de grupos configurada con group-include-list
  • La lista de incluir grupo puede haber sido configurada y empujada desde Panorama

Cause


  • La lista de incluir grupo puede haber sido configurada con un carácter incorrecto o AD contenedor de bosque, como el intercambio accidental " CN por " " en la ruta de OU AD acceso
  • Inspeccione el grupo-inclusión-lista para verificar la sintaxis de lo que está configurado actualmente:
    FW(active)> show config merged | match group-include-list

group-include-list [ "cn=Domain Users,ou=group,DC=company,dc=com" "cn=users,cn=group,dc=company,dc=com"];
  • Desde el WEB-UI examinar el árbol en LDAP "Grupos disponibles" y validar los nombres de grupo reales devueltos desde el LDAP servidor:
ldap-tree-in-webui
  • En lo anterior vemos que el "Grupo Incluido" se configuró como "cn=users,cn=group,dc=company,dc=com", pero el grupo devuelto desde el LDAP servidor es "cn=users,ou=group,dc=company,dc=com"
  • Es más probable que se produzca esta configuración incorrecta si el administrador configura la lista de grupo-incluir en Panorama , donde no es posible utilizar el explorador de árbol para buscar grupos disponibles LDAP y, en su lugar, la lista debe configurarse a mano.

Resolution


Corrija la configuración en group-include-list para hacer referencia al grupo con las convenciones de sintaxis y nomenclatura adecuadas
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBzpCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language