グループマッピングの設定方法

hfukasawa · ‎07-09-2016

※この記事は以下の記事の日本語訳です。
How to Configure Group Mapping Settings

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/...

概要

Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピングデータはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループマッピング設定方法を説明します。

手順

LDAP サーバープロファイルを設定します。手順はこちらを参照してください。
How to Configure LDAP Server Profile
Device > ユーザーID > グループマッピング設定タブにて「追加」をクリックし、新しくグループマッピングエントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。
名前を入力します。マルチ Virtual System を利用している場合、ドロップダウンリストの選択フォームが表示されます。
サーバープロファイルタブのドロップダウンリストで、1. で作成した LDAP サーバープロファイルを選択します。
注:すべての属性とオブジェクトクラスは、LDAP サーバープロファイルで選択したディレクトリタイプに基づいて値が入力されます。
デフォルトのユーザーグループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。
許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。

取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。

> show user group-mapping state all

> show user group list

> show user group name <group name>

著者: apasupulati

Network Security

Cloud Security

Security Operations

グループ マッピングの設定方法