グループ マッピングの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure Group Mapping Settings

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/...

 

概要

Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピング データはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループ マッピング設定方法を説明します。

 

手順

  1. LDAP サーバー プロファイルを設定します。手順はこちらを参照してください。
    How to Configure LDAP Server Profile
  2. Device > ユーザーID > グループ マッピング設定タブにて「追加」をクリックし、新しくグループ マッピング エントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。
    57258.png
  3. 名前を入力します。マルチ Virtual System を利用している場合、ドロップダウン リストの選択フォームが表示されます。
  4. サーバー プロファイル タブのドロップダウン リストで、1. で作成した LDAP サーバー プロファイルを選択します。
    注:すべての属性とオブジェクト クラスは、LDAP サーバー プロファイルで選択したディレクトリ タイプに基づいて値が入力されます。
  5. デフォルトのユーザー グループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。
  6. 許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。

取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。

> show user group-mapping state all

> show user group list

> show user group name <group name>

 

著者: apasupulati