LDAP /活动目录组不再匹配安全规则
14285
Created On 12/20/20 18:27 PM - Last Modified 06/12/23 14:00 PM
Symptom
A 安全规则,其中有一个活动目录组名学的组映射定义 firewall ,可能会突然停止工作。 在这种情况下,应检查"显示运行安全" policy 和"显示用户组列表"命令的输出中是否看到必要的"活动目录"组名是完全相同的 CLI 。
> show running security-policy
DP s1dp0:
"Email Rule; index: 86" {
from Trust;
source 10.10.0.0/22;
source-region none;
to DMZ;
destination 10.50.50.0/24;
destination-region none;
user "cn=email_users,ou=email,ou=security,ou=users,dc=palolabs,dc=com";
> show user group list [...] cn=email_users,ou=global,ou=groups,dc=palolabs,dc=com
如上所述,在输出中可以看到同一组,但活动目录路径则不同。
Cause
活动目录管理员极有可能在"活动目录"树中将安全组从一个 OU (组织单元)移到另一个组,因此组映射刷新已更新了 OU 组映射中的信息 firewall 。
由于组以完整 DN (与众不同的名称)格式存储在配置中,新的组路径将无法匹配当前配置在安全性中 policy 的内容。
Resolution
需要删除组并重新添加到安全 policy 组以进行匹配。
或者,组可以移回其原始 OU 组,并且通过以下命令手动刷新组映射 CLI :
调试用户 ID 刷新组映射<group mapping="">
调试用户 ID 刷新组映射所有</group>