Active Directoryサーバー プロファイルを使ったグループ マッピングと認証設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure Active Directory Server Profile for Group Mapping and Authentication
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Active-Directory-Server...

 

概要

Palo Alto NetworksはLDAPブラウザーを使って、正確なLDAP情報を確認することを推奨します。

 

正確なバインド情報の見つけ方

バインドDNを検索するには、AD サーバーのコマンド ラインにて、以下のコマンド(例:ユーザー名 test1)実行します。

  • dsquery user -name test1
  • 以下の例ではバインドDN "CN=test1, OU=outest2, OU=outest, DC=pantac2, DC=org" が返答されます。

 

または、バインドDNを検索するためにLDAPブラウザを使用することもできます。

ss1.png

 

    • ベースDNはLDAPディレクトリー構造で、PANがユーザー情報を検索する起点です。
    • バインドDNで使用するユーザーは、認証のために情報を検索するために使用するものです。

 

注意 : アクティブ ディレクトリー(AD)では空白のフォルダー アイコンはコンテナ (CN) 、通常のフォルダーは組織(OU)を表します。

 

ss2.png

 

この例では、adminアカウントがUsersコンテナにある場合、バインドDN情報はcn=admin,cn=users,dc=pantac2,dc=orgとなります。

ss3.png

 

次の例ではtest1アカウントがOUtest2組織ユニット(OU)に存在します。そしてOUtest2はOUtestの中にいます。

ss4.png

 

LDAP設定

  • Device > Server Profile> LDAP

LDAP 389.PNG.png

 

  • 上記の例ではアクティブ ディレクトリー(AD)の接続にSSL暗号化は使用されません。TCP ポート389はLDAP接続で非暗号化接続の標準ポートです。以下は、TCP ポート636(SSL暗号化)設定例です。

LDAP 636.PNG.png

 

LDAP情報

  • Type: active-directory
  • Base DN: DC=paloalto, DC=com
  • Bind DN: CN=PAadmin, OU=Users, DC=paloalto, DC=com

 

グループ マッピング プロファイル設定

  • Device > User Identification> Group Mapping Settings:

Group.PNG.png

  • 許可リストのグループ化タブをクリックします。

Included Group.PNG.png

  • 左パネルにあるBase情報左の”+”をクリックすると、検索をかけたいグループ情報一覧が表示されます。
    • グループ リストから、ファイアウォール上のポリシーで使用したい"cn="で始まるグループを選択し、画面中央の”+”で右側の含まれたグループに追加します。
      注意!含まれた グループに何も選択しない場合、アクティブ ディレクトリー(AD)上のすべてのグループがけ検索対象になり、負荷をかける原因になることがあります。
  • コミットを実行します。
  • CLIでLDAP serverとの接続を確認するコマンドは以下になります。

> show user group name all

 

LDAP認証の設定

  1. Device > 認証プロファイル
    • 認証プロファイルで、クエリ検索をかけたいグループを追加します。
    • このプロファイルは、Captive Portal、Global Protect、ユーザー ログイン、その他ファイアウォールで使用する認証で使用することができます。
    • 許可リストのグループが異なる場合は、別の認証プロファイルを作成し違う目的で使用することができます。

AUTH.PNG.png