LDAP / Groupe d’annuaire actif ne correspondant plus à la règle de sécurité
14269
Created On 12/20/20 18:27 PM - Last Modified 06/12/23 14:00 PM
Symptom
A règle de sécurité qui a un nom de groupe d’annuaire actif appris par la cartographie de groupe définie sur firewall le , peut soudainement cesser de fonctionner. Dans ce cas, il convient de vérifier si le nom du groupe Active Directory nécessaire est complètement identique dans la sortie des commandes « afficher la sécurité en cours d’exécution » et « afficher la policy liste des CLI groupes d’utilisateurs ».
> show running security-policy
DP s1dp0:
"Email Rule; index: 86" {
from Trust;
source 10.10.0.0/22;
source-region none;
to DMZ;
destination 10.50.50.0/24;
destination-region none;
user "cn=email_users,ou=email,ou=security,ou=users,dc=palolabs,dc=com";
> show user group list [...] cn=email_users,ou=global,ou=groups,dc=palolabs,dc=com
Comme on le voit ci-dessus, le même groupe est vu dans les sorties, mais les chemins d’annuaire actif sont vus différemment.
Cause
Il est fort probable qu’un administrateur active de l’annuaire ait déplacé le groupe de sécurité d’un OU (unité organisationnelle) à un autre dans l’arbre d’annuaire actif, et donc la mise à jour de la cartographie de groupe avait mis à jour les informations contenues dans OU les cartographies de groupe sur firewall le .
Étant donné que les groupes sont stockés en configuration dans le DN format complet (Nom distingué), le nouveau chemin de groupe ne correspondra pas à ce qui est actuellement configuré dans la policy sécurité.
Resolution
Les groupes devront être supprimés et ré-ajoutés à la sécurité policy afin d’être appariés.
Alternativement, le groupe peut être déplacé vers son original et la OU cartographie de groupe est actualisée manuellement par les commandes suivantes : CLI
débog user-id refresh group-mapping <group mapping="">
debug user-id refresh group-mapping all</group>