域映射信息为空

域映射信息为空

14734
Created On 10/08/21 16:26 PM - Last Modified 05/15/23 09:34 AM


Symptom


背景:
  • 帕洛阿尔托网络firewall使用域映射来存储完全限定的活动目录域名 (fqdn) 及其等效的 netbios 域。
  • 它用于将用户名和组名从可分辨名称格式规范化或转换为短名称格式 (netbios\username)。

问题:
  • 在多域环境中,firewall无法提取域映射信息。

Environment


  • 帕洛阿尔托 Firewall
  • 支持的 PAN-OS
  • 用户-ID配置组映射

Cause


什么时候firewall发送一个LDAP向基地查询DN指向子域,域控制器可能会在没有 netbios 名称的情况下响应。 
 

图形用户界面、文本、应用程序描述已自动生成

文本描述自动生成


 

Resolution


  1. Firewall 发送查询以从域控制器上的特定路径获取 netbios 信息。
  2. 查询路径受base影响DN配置在LDAP服务器配置文件,但 Active Directory 仅在 Root 域下存储 netbios 信息。
  3. 要解决此问题,请使用假人LDAP服务器配置文件和组映射配置文件必须使用 Base 配置DN指向根域。

GUI:设备 > 服务器配置文件 >LDAP

图形用户界面、文本、应用程序描述已自动生成
 
  1. 现在,当使用“debug user-id dump domain-map”时,会显示域映射信息。
 
文本描述自动生成


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMbiCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language