※この記事は以下の記事の日本語訳です。
How to Configure Group Mapping Settings
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/...
概要
Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピング データはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループ マッピング設定方法を説明します。
手順
- LDAP サーバー プロファイルを設定します。手順はこちらを参照してください。
How to Configure LDAP Server Profile
- Device > ユーザーID > グループ マッピング設定タブにて「追加」をクリックし、新しくグループ マッピング エントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。

- 名前を入力します。マルチ Virtual System を利用している場合、ドロップダウン リストの選択フォームが表示されます。
- サーバー プロファイル タブのドロップダウン リストで、1. で作成した LDAP サーバー プロファイルを選択します。
注:すべての属性とオブジェクト クラスは、LDAP サーバー プロファイルで選択したディレクトリ タイプに基づいて値が入力されます。
- デフォルトのユーザー グループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。
- 許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。
取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。
> show user group-mapping state all
> show user group list
> show user group name <group name>
著者: apasupulati