LDAP / Active Directory-Gruppe entspricht nicht mehr der Sicherheitsregel
14269
Created On 12/20/20 18:27 PM - Last Modified 06/12/23 14:00 PM
Symptom
A Sicherheitsregel, die einen Active Directory-Gruppennamen hat, der von der Gruppenzuordnung auf der definiert firewall wurde, funktioniert möglicherweise plötzlich nicht mehr. In diesem Fall sollte überprüft werden, ob der erforderliche Active Directory-Gruppenname in der Ausgabe der Befehle "Show Running Security-" und "Show user group list" vollständig gleich angezeigt policy CLI wird.
> show running security-policy
DP s1dp0:
"Email Rule; index: 86" {
from Trust;
source 10.10.0.0/22;
source-region none;
to DMZ;
destination 10.50.50.0/24;
destination-region none;
user "cn=email_users,ou=email,ou=security,ou=users,dc=palolabs,dc=com";
> show user group list [...] cn=email_users,ou=global,ou=groups,dc=palolabs,dc=com
Wie oben gesehen, wird die gleiche Gruppe in den Ausgaben angezeigt, die Active Directory-Pfade werden jedoch unterschiedlich gesehen.
Cause
Es ist sehr wahrscheinlich, dass ein Active Directory-Administrator die Sicherheitsgruppe von einer OU (Organisationseinheit) in eine andere in der Active Directory-Struktur verschoben hat, sodass die Gruppenzuordnungsaktualisierung die OU Informationen in den Gruppenzuordnungen auf der aktualisiert firewall hatte.
Da die Gruppen in der Konfiguration im vollständigen DN Format (Distinguished Name) gespeichert werden, stimmt der neue Gruppenpfad nicht mit dem überein, was derzeit im Sicherheitsformat konfiguriert policy ist.
Resolution
Die Gruppen müssen entfernt und der Sicherheit hinzugefügt policy werden, um abgeglichen zu werden.
Alternativ kann die Gruppe wieder in ihr Original verschoben werden, OU und die Gruppenzuordnung wird manuell durch die folgenden CLI Befehle aktualisiert:
Debuggen Sie Benutzer-ID-Aktualisierungsgruppen-Zuordnungsdebug-Benutzer-id-Aktualisierungsgruppen-Zuordnung <group mapping="">
alle</group>