LDAP / Active Directory グループがセキュリティ規則に一致しなくなりました
14263
Created On 12/20/20 18:27 PM - Last Modified 06/12/23 14:00 PM
Symptom
A で定義されたグループ マッピングによって学習された Active Directory グループ名を持つセキュリティ規則 firewall が突然動作を停止することがあります。 この場合、必要な Active Directory グループ名が 'show running security- ' と 'show user group list' コマンドの出力で完全に同じかどうかを確認する必要があります policy CLI 。
> show running security-policy
DP s1dp0:
"Email Rule; index: 86" {
from Trust;
source 10.10.0.0/22;
source-region none;
to DMZ;
destination 10.50.50.0/24;
destination-region none;
user "cn=email_users,ou=email,ou=security,ou=users,dc=palolabs,dc=com";
> show user group list [...] cn=email_users,ou=global,ou=groups,dc=palolabs,dc=com
上に見られるように、同じグループが出力で見られますが、Active Directoryパスは異なって見えます。
Cause
Active Directory 管理者が、セキュリティ グループを Active Directory OU ツリー内の (組織ユニット) から別のグループに移動した可能性が高いので、グループ マッピングの更新によって、 の OU グループ マッピングの情報が更新されました firewall 。
グループは完全な (識別名) 形式で構成に格納されるため DN 、新しいグループ パスはセキュリティで現在構成されているものと一致しません policy 。
Resolution
グループを削除し、 policy 一致させるためにセキュリティに再度追加する必要があります。
または、グループを元のグループに戻 OU し、グループ マッピングを手動で更新するには CLI 、次のコマンドを実行します
<group mapping="">
</group>。