LDAP / El grupo de Active Directory ya no coincide con la regla de seguridad
14259
Created On 12/20/20 18:27 PM - Last Modified 06/12/23 14:00 PM
Symptom
A la regla de seguridad que tiene un nombre de grupo de Active Directory aprendido por la asignación de grupo definida en el firewall objeto , puede dejar de funcionar de repente. En este caso, se debe comprobar si el nombre del grupo de Active Directory necesario se ve completamente igual en la salida de los comandos 'show running security- policy ' y 'show user group list'. CLI
> show running security-policy
DP s1dp0:
"Email Rule; index: 86" {
from Trust;
source 10.10.0.0/22;
source-region none;
to DMZ;
destination 10.50.50.0/24;
destination-region none;
user "cn=email_users,ou=email,ou=security,ou=users,dc=palolabs,dc=com";
> show user group list [...] cn=email_users,ou=global,ou=groups,dc=palolabs,dc=com
Como se ve arriba, el mismo grupo se considera en las salidas, sin embargo las trayectorias de Active Directory se consideran diferentes.
Cause
Es muy probable que un administrador de Active Directory haya movido el grupo de seguridad de uno OU (Unidad organizativa) a otro en el árbol de Active Directory, por lo que la actualización de asignación de grupo ha actualizado la OU información de las asignaciones de grupo en el archivo firewall .
Puesto que los grupos se almacenan en configuración en el formato completo DN (Nombre distinguido), la nueva ruta de acceso del grupo no coincidirá con lo que está configurado actualmente en la policy seguridad.
Resolution
Los grupos tendrán que ser eliminados y re-agregados a la seguridad policy para ser emparejados.
Como alternativa, el grupo se puede volver a mover a su original OU y la asignación de grupos se actualiza manualmente mediante los siguientes CLI comandos:
depurar user-id actualizar group-mapping <group mapping="">
debug user-id refresh group-mapping all</group>