如何刷新防火墙上的用户组映射

手动刷新可用于故障排除。以下步骤将立即获取更改，而无需等待下一次计划的自动刷新。

所有 PanOS 版本

1. 检查组映射的当前状态和与LDAP服务器的连接。默认下，防火墙将每小时查询一次LDAP服务器以刷新组映射。使用命令“show 用户 group-mapping statistics”和“show 用户 group-mapping 状态 all”确认详细信息。

2. 使用命令“debug user-id 刷新 group-mapping all”或“debug user-id 刷新 group-mapping ?group-mapping-name”刷新组映射映射。

3. 使用命令“debug user-id on debug”将用户ID 进程的日志记录级别更改为调试模式，并使用命令“tail follow yes mp-log useridd.log”跟踪用户ID 日志，以验证与LDAP服务器的连接是否成功。

4. 如果根据 useridd.log 中的日志，连接成功，防火墙将从LDAP服务器下载新的映射。下一次默认刷新操作将在 3600 秒后进行。

• 运行命令“show 用户 group list”确认从LDAP服务器下载的组。

• 您可以运行命令“显示用户组名称”并根据以下屏幕截图输入组名”来查看每个组的映射。