LDAP グループのユーザを確認する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Check Users in LDAP Groups
https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Users-in-LDAP-Groups/ta-p/59028

 

概要

Palo Alto Networks デバイスはセキュリティ ポリシーを作成するためにユーザーとグループを必要に応じて利用することができます。LDAPグループ内のユーザーを確認して管理者はグループ メンバーシップに基づいたアクセス許可ポリシーを作成できます。

 

詳細

デバイス管理者はIPアドレスではなくユーザーに基づいたアクセスを提供するために LDAP グループを使用します。User-ID エージェントは IP アドレスとユーザーのマッピング情報および Palo Alto Networks ファイアウォールに対する接続性が必要となります。LDAPプロファイルに基づいて User-ID エージェントは LDAP サーバーからグループ情報を読み取ります。これらのマッピングはファイアウォールの IP-user-mapping テーブルに格納され、グループとグループのメンバーはグループ マッピング リストに保存されます。

 

手順

Palo Alto Networks ファイアウォールにて以下の手順を実行することで LDAP プロファイルからグループを検索します。

  1. 全てのグループリストは次のCLIコマンドを使用して読み取ることができます:
    > show user group list

    cn=sales,cn=users,dc=al,dc=com
    cn=it_development,cn=users,dc=al,dc=com
    cn=groùpé,cn=users,dc=al,dc=com
    cn=domain admins,cn=users,dc=il,dc=al,dc=com
    cn=domain guests,cn=users,dc=al,dc=com
    cn=it,cn=users,dc=al,dc=comcn=marketing,cn=users,dc=al,dc=com
    cn=it_operations,cn=it,ou=groups,dc=al,dc=openldap,dc=com
    cn=it_operations,ou=groups,dc=al,dc=openldap,dc=com
    cn=it_operations,cn=users,dc=al,dc=com
    cn=domain users,cn=users,dc=il,dc=al,dc=com
    cn=hr,cn=users,dc=al,dc=com
    cn=it,ou=groups,dc=al,dc=openldap,dc=com
    cn=vpn_users,cn=users,dc=al,dc=com
    cn=domain users,cn=users,dc=al,dc=com

  2. 詳細なグループ情報を確認するためには以下のコマンドを実行します:
    > show user group name cn=it_operations,cn=users,dc=al,dc=com

    source type: service
    source:      AD_Group_Mapping_al.com
    [1     ] al\alex
    [2     ] al\biljanap
    [3     ] al\damem
    [4     ] al\ilija
    [5     ] al\ilijaal
    [6     ] al\ristok
    [7     ] al\jovan

    注意: PAN-OS 6.0 以降では無効な AD ユーザーをリストに追加しません。
    次の例では無効になっているADドメインユーザーの "alex" 示しています:
    Screen Shot 2014-04-18 at 12.19.48 AM.png

  3. LDAP プロファイル上のグループマッピングは次のコマンドでリセットすることができます:
    > debug user-id reset  group-mapping AD_Group_Mapping
    group mapping 'AD_Group_Mapping' in vsys1 is marked for reset.

  4. 以下のコマンドを実行したときに、該当ユーザーは出力に表示されていません:
    > show user group name cn=it_operations,cn=users,dc=al,dc=com
    short name:  al\it_operations
    source type: service
    source:      AD_Group_Mapping

    [1     ] al\biljanap
    [2     ] al\damem
    [3     ] al\ilija
    [4     ] al\ilijaal
    [5     ] al\ristok
    [6     ] al\jovan

 

著者 : ialeksov