LDAP グループ・インクルード・リストを使用する場合、グループ・マッピングで一部のグループの取得に失敗する

LDAP グループ・インクルード・リストを使用する場合、グループ・マッピングで一部のグループの取得に失敗する

40490
Created On 12/16/20 22:24 PM - Last Modified 03/26/21 18:50 PM


Symptom




LDAP 含める List
( GUI : デバイス >ユーザー識別>グループ マッピング設定> [グループ マッピング構成] > グループインクルード リスト>含まれるグループ)
"表示ユーザー グループ マッピング状態 <name></name> " は、構成されたグループの数を表示します。
FW(active)> show user group-mapping state <name> 
Example:
FW(active)> show user group-mapping state Group-Mapping-Configuration

Group Mapping((null), type: active-directory): Group-Mapping-Configuration
        Bind DN    : svc_panldap@company.com
        Base       : DC=company,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 server
                10.0.0.1(389)
                        Last Action Time: 147 secs ago(took 3 secs)
                        Next Action Time: In 3453 secs
        Number of Groups: 1
        cn=domain users,ou=group,dc=company,dc=com    <-- Only 1 group is retrieved when there are many


システム ログには、 firewall がサーバーに正常に接続していることを示 LDAP します。
FW(active)> show log system direction equal backward subtype equal "userid"
Time Severity Subtype Object EventID ID Description
===============================================================================
xxxx  info     userid   connect 0  ldap cfg Group-Mapping-Configuration connected to server 
                                   10.0.0.1:389, initiated by: 10.0.0.2


Useridd.logはエラー"グループ obj を取得できませんでした"を示しています。
FW(active)> less mp-log useridd.log
xxxx ldap cfg Group-Mapping-Configuration connected to 10.0.0.1:389(index 2)
xxxx Warning:  pan_ldap_ctrl_search_single_group(pan_ldap_ctrl.c:3462): failed to get group
               obj for 'cn=users,cn=group,dc=company,dc=com'


Environment


  • パロアルト Firewall はによって管理. Panorama
  • Ny PAN-OS
  • LDAP グループインクルードリストで構成されたグループマッピング
  • グループインクルードリストが構成され、次のリストからプッシュされている可能性があります Panorama

Cause


  • グループインクルードリストが AD 、パス内で誤って " " と " を交換するなど、誤った文字またはフォレスト コンテナ CN OU で AD 構成されている可能性があります
  • グループインクルードリストを調べて、現在構成されている内容の構文を確認します。
    FW(active)> show config merged | match group-include-list

group-include-list [ "cn=Domain Users,ou=group,DC=company,dc=com" "cn=users,cn=group,dc=company,dc=com"];
  • [ WEB-UI LDAP 使用可能なグループ] の下のツリーを参照し、サーバーから返される実際のグループ名を検証 LDAP します。
ldap ツリー イン ウェブイ
  • 上記の「含まれるグループ」は「cn=users,cn=グループ,dc=company,dc=com」として構成されていますが、サーバーから返されるグループ LDAP は「cn=users,ou=グループ,dc=company,dc=com」であることがわかります。
  • この構成ミスは、管理者がグループインクルードリスト を で構成した場合に発生する可能性が高くなります Panorama LDAP 。

Resolution


グループインクルードリストの構成を修正して、適切な構文と命名規則を使用してグループを参照します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBzpCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language