LDAP la cartographie de groupe ne parvient pas à récupérer certains groupes lors de l’utilisation de listes d’inclure des groupes

LDAP la cartographie de groupe ne parvient pas à récupérer certains groupes lors de l’utilisation de listes d’inclure des groupes

40504
Created On 12/16/20 22:24 PM - Last Modified 03/26/21 18:50 PM


Symptom




LDAP La cartographie de groupe configurée avec liste
( : Device > User Identification > Group Mapping Settings > GUI [group-mapping-configuration] > Group Include List > Included Groups)
"show user group mapping state <name></name> " affiche seulement quelques groupes configurés.
FW(active)> show user group-mapping state <name> 
Example:
FW(active)> show user group-mapping state Group-Mapping-Configuration

Group Mapping((null), type: active-directory): Group-Mapping-Configuration
        Bind DN    : svc_panldap@company.com
        Base       : DC=company,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 server
                10.0.0.1(389)
                        Last Action Time: 147 secs ago(took 3 secs)
                        Next Action Time: In 3453 secs
        Number of Groups: 1
        cn=domain users,ou=group,dc=company,dc=com    <-- Only 1 group is retrieved when there are many


Le journal du système montre que le firewall se connecte au LDAP serveur avec succès:
FW(active)> show log system direction equal backward subtype equal "userid"
Time Severity Subtype Object EventID ID Description
===============================================================================
xxxx  info     userid   connect 0  ldap cfg Group-Mapping-Configuration connected to server 
                                   10.0.0.1:389, initiated by: 10.0.0.2


Useridd.log l’erreur « n’a pas réussi à obtenir obj groupe »:
FW(active)> less mp-log useridd.log
xxxx ldap cfg Group-Mapping-Configuration connected to 10.0.0.1:389(index 2)
xxxx Warning:  pan_ldap_ctrl_search_single_group(pan_ldap_ctrl.c:3462): failed to get group
               obj for 'cn=users,cn=group,dc=company,dc=com'


Environment


  • Palo Alto Firewall géré par Panorama .
  • ANY PAN-OS
  • LDAP cartographie de groupe configurée avec la liste des groupes
  • Le groupe inclut la liste peut avoir été configuré et poussé à partir de Panorama

Cause


  • Le groupe inclut la liste peut avoir été configuré avec un caractère incorrect ou AD un récipient forestier tel que l’échange accidentellement " pour " pour " dans le CN OU AD chemin
  • Inspectez la liste des groupes pour vérifier la syntaxe de ce qui est actuellement configuré :
    FW(active)> show config merged | match group-include-list

group-include-list [ "cn=Domain Users,ou=group,DC=company,dc=com" "cn=users,cn=group,dc=company,dc=com"];
  • À partir de WEB-UI la navigation LDAP de l’arbre sous « Groupes disponibles » et valider les noms de groupe réels retournés à partir LDAP du serveur:
ldap-arbre-en-webui
  • Dans ce qui précède, nous voyons que le « Groupeinclus » a été configuré comme « cn=users, cn=group,dc=company,dc=com », mais le groupe retourné du LDAP serveur est « cn=users, ou=group,dc=company,dc=com »
  • Cette mauvaise configuration est plus susceptible de se produire si l’administrateur configure la liste de groupe sur Panorama , où il n’est pas possible d’utiliser le LDAP navigateur d’arbre pour trouver des groupes disponibles, et au lieu de cela la liste doit être configurée à la main.

Resolution


Corriger la configuration de la liste de groupe pour référencer le groupe avec des conventions de syntaxe et de nommage appropriées
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBzpCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language