https://live.paloaltonetworks.com/t5/%E9%85%8D%E7%BD%AE%E5%92%8C%E5%AE%9E%E6%96%BD/%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AE%E7%BB%84%E6%98%A0%E5%B0%84%E8%AE%BE%E7%BD%AE/ta-p/527359 <DIV class="lia-message-template-content-zone"> <H2><STRONG>环境</STRONG></H2> <UL> <LI>Palo Alto 防火墙</LI> <LI>PAN-OS 8.1或更高版本</LI> <LI>组映射（Group Mapping）</LI> </UL> <P>&nbsp;</P> <H2><STRONG>概述</STRONG></H2> <P>Palo Alto Networks防火墙可以从LDAP服务器（如Active Directory或eDirectory）检索用户到组的映射信息。这些数据可以通过防火墙的LDAP查询（通过无代理的User-ID）或通过配置为代理防火墙LDAP查询的User-ID代理来检索。本文件描述了如何在Palo Alto Networks防火墙上配置组映射。</P> <P>&nbsp;</P> <H2><STRONG>步骤</STRONG></H2> <OL> <LI>配置 LDAP 服务器配置文件：<A href="https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGnCAK" target="_blank">如何配置 LDAP 服务器配置文件</A></LI> <LI>配置如何从LDAP目录中检索组和用户，在PaloAlto防火墙上通过Device &gt; User Identification &gt; Group Mapping Settings创建一个新的组映射条目，然后点击 "Add"。请参考下面的屏幕截图。</LI> </OL> <span class="lia-inline-image-display-wrapper lia-image-align-inline" image-alt="wxiao_0-1673952331404.png" style="width: 400px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/47133iC1F91D585FF9B4CE/image-size/medium?v=v2&amp;px=400" role="button" title="wxiao_0-1673952331404.png" alt="wxiao_0-1673952331404.png" /></span> <P>&nbsp;</P> <OL start="3"> <LI>输入一个名称。对于支持多个虚拟系统的Palo Alto网络，将有一个下拉列表（Location）供其选择。</LI> <LI>在 "Server Profile "标签下的下拉列表中指定LDAP服务器配置文件（在步骤1中配置）。</LI> </OL> <P>注意：所有的属性（Attributes）和对象类别（Object Class）将根据你在 "LDAP服务器配置文件 "中选择的目录服务器类型进行填充。</P> <OL start="5"> <LI>用户组变化的默认更新时间间隔（Update Interval）是3600秒（1小时）。输入一个值来指定一个自定义的时间间隔。</LI> <LI>点击转到 "Group Include List "标签。如果你想包括所有的组，就把包括列表留空，否则从左边一栏中选择要包括的组，这些组应该被映射。</LI> </OL> <P>&nbsp;</P> <P>CLI命令检查检索的组和与LDAP服务器的连接：</P> <P>&gt; show user group-mapping state all</P> <P>&gt; show user group list</P> <P>&gt; show user group name &lt;group name&gt;</P> <P>&nbsp;</P> <P>注意：当多个组映射配置在同一基础DN或LDAP服务器上时，每个组映射必须包括不重叠的组，即包括组列表不能有任何共同的组。</P> </DIV> Tue, 17 Jan 2023 10:51:31 GMT wxiao 2023-01-17T10:51:31Z https://live.paloaltonetworks.com/t5/%E9%85%8D%E7%BD%AE%E5%92%8C%E5%AE%9E%E6%96%BD/%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AE%E7%BB%84%E6%98%A0%E5%B0%84%E8%AE%BE%E7%BD%AE/ta-p/527359 <DIV class="lia-message-template-content-zone"> <H2><STRONG>环境</STRONG></H2> <UL> <LI>Palo Alto 防火墙</LI> <LI>PAN-OS 8.1或更高版本</LI> <LI>组映射（Group Mapping）</LI> </UL> <P>&nbsp;</P> <H2><STRONG>概述</STRONG></H2> <P>Palo Alto Networks防火墙可以从LDAP服务器（如Active Directory或eDirectory）检索用户到组的映射信息。这些数据可以通过防火墙的LDAP查询（通过无代理的User-ID）或通过配置为代理防火墙LDAP查询的User-ID代理来检索。本文件描述了如何在Palo Alto Networks防火墙上配置组映射。</P> <P>&nbsp;</P> <H2><STRONG>步骤</STRONG></H2> <OL> <LI>配置 LDAP 服务器配置文件：<A href="https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGnCAK" target="_blank">如何配置 LDAP 服务器配置文件</A></LI> <LI>配置如何从LDAP目录中检索组和用户，在PaloAlto防火墙上通过Device &gt; User Identification &gt; Group Mapping Settings创建一个新的组映射条目，然后点击 "Add"。请参考下面的屏幕截图。</LI> </OL> <span class="lia-inline-image-display-wrapper lia-image-align-inline" image-alt="wxiao_0-1673952331404.png" style="width: 400px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/47133iC1F91D585FF9B4CE/image-size/medium?v=v2&amp;px=400" role="button" title="wxiao_0-1673952331404.png" alt="wxiao_0-1673952331404.png" /></span> <P>&nbsp;</P> <OL start="3"> <LI>输入一个名称。对于支持多个虚拟系统的Palo Alto网络，将有一个下拉列表（Location）供其选择。</LI> <LI>在 "Server Profile "标签下的下拉列表中指定LDAP服务器配置文件（在步骤1中配置）。</LI> </OL> <P>注意：所有的属性（Attributes）和对象类别（Object Class）将根据你在 "LDAP服务器配置文件 "中选择的目录服务器类型进行填充。</P> <OL start="5"> <LI>用户组变化的默认更新时间间隔（Update Interval）是3600秒（1小时）。输入一个值来指定一个自定义的时间间隔。</LI> <LI>点击转到 "Group Include List "标签。如果你想包括所有的组，就把包括列表留空，否则从左边一栏中选择要包括的组，这些组应该被映射。</LI> </OL> <P>&nbsp;</P> <P>CLI命令检查检索的组和与LDAP服务器的连接：</P> <P>&gt; show user group-mapping state all</P> <P>&gt; show user group list</P> <P>&gt; show user group name &lt;group name&gt;</P> <P>&nbsp;</P> <P>注意：当多个组映射配置在同一基础DN或LDAP服务器上时，每个组映射必须包括不重叠的组，即包括组列表不能有任何共同的组。</P> </DIV> Tue, 17 Jan 2023 10:51:31 GMT https://live.paloaltonetworks.com/t5/%E9%85%8D%E7%BD%AE%E5%92%8C%E5%AE%9E%E6%96%BD/%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AE%E7%BB%84%E6%98%A0%E5%B0%84%E8%AE%BE%E7%BD%AE/ta-p/527359 wxiao 2023-01-17T10:51:31Z