Firewall no está aprendiendo ningún miembro de los grupos de Active Directory.

Firewall no está aprendiendo ningún miembro de los grupos de Active Directory.

962
Created On 04/23/21 03:03 AM - Last Modified 07/23/25 19:57 PM


Symptom


La configuración de asignación de grupos en determinadas configuraciones de asignación de grupos no pudo recuperar usuarios o miembros del grupo de Active Directory.

Aunque todas las configuraciones de asignación de grupos apuntaban al mismo LDAP servidor, ciertas configuraciones de asignación de grupos pudieron recuperar miembros y ciertas configuraciones de asignación de grupos no pudieron recuperar miembros.

Environment


Firewalls administrados por , Active Directory , UserID , múltiples configuraciones de asignación de grupos , Seguridad policy basada en grupos de Active Directory recuperados por Panorama configuración de asignación de grupos.
Todas las firewall configuraciones fueron administradas por Panorama.
El LDAP perfil se configuró con un FQDN que se resolvió en 8 LDAP servidores.

Aunque solo había uno FQDN que apuntaba a un conjunto de servidores con la misma BaseDN, el cliente creó diferentes perfiles de LDAP servidor con diferentes LDAP DN base.

Cause


El firewall no estaba recuperando ningún miembro de los grupos de Active Directory porque tenían una comprensión incorrecta de Base y la estructura de los grupos de DN Active Directory.

La base del servidor ldap era: dc=company,dc=com

1) Configuración de trabajo:
La base DN DN real se utilizó en el perfil del LDAP servidor.
Cuando se utilizó este LDAP perfil de servidor en la configuración de asignación de grupos, el firewall pudo extraer usuarios o miembros de todos los AD grupos.

2) Configuración que no funciona.
El grupo requerido AD era similar a :
"ou=WestCoast,ou=,ou=Groups,dc=company,dc=com"Si el cliente hubiera establecido la base en "dc=company,dc=com" , habría firewall visto el grupo "ou=WestCoast,ou=,ou=XYXYGroups,dc=company,dc=com"Pero el AD cliente estableció la base DN DN en "


ou=WestCoast, ou=,ou=XYGrupos,dc=empresa,dc=com"

Con esta base DNincorrecta, el firewall no pudo extraer ningún miembro del AD grupo.

Solución de problemas:
depuración habilitada en depurar user-id en LDAP
debug debug user-id set ldap basic
debug
user-id refresh group-mapping group-mapping-name group-mapping-name

Desde el registro de userid, pudimos ver esta entrada de registro.
2021-04-08 16:22:29.338 +0000 depurar: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:722): group 'cn=name-of-ad-group,ou=WestCoast,ou=xy,ou=groups,dc=hersheys,dc=com' tiene 0 miembros

Resolution


Aconsejó al cliente que no eligiera al azar la Base DN.
Configuró la Base DN en función de los detalles de este documento:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POBzCAO
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM0hCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language