LDAP 接続のトラブルシュートに有益な CLI コマンド

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Useful CLI Commands to Troubleshoot LDAP Connection

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...

 

概要

このドキュメントでは、グループ情報を参照するために LDAP サーバーへの接続が成功したことを確認することができる CLI コマンドについて説明します。

 

詳細

Device > サーバー プロファイル > LDAP にて LDAP サーバー プロファイルを設定する際、LDAP サーバーへの接続が成功するとデバイスは自動的にベース DN を取得します:

ospf.JPG.jpg

 

base.JPG.jpg

グループ マッピングに LDAP サーバー プロファイルを使用している場合は、show user group-mapping state all コマンドを使用して LDAP 接続に関する情報を表示できます。

例:

> show user group-mapping state all

Group Mapping (vsys1, type: active-directory) : grp_mapping

  Bind DN    : pantac2003\adminatrator

  Base       : DC=pantac2003,DC=com

  Group Filter: (None)

  User Filter: (None)

  Servers    : configured 1 servers

          10.46.48.101 (389)

                  Last Action Time: 2290 secs ago(took 71 secs)

                  Next Action Time: In 1310 secs

  Number of Groups: 121

  cn=administrators,cn=builtin,dc=pantac2003,dc=com

  cn=ras and ias servers,cn=users,dc=pantac2003,dc=com

  cn=s,cn=users,dc=pantac2003,dc=com

 

LDAP サーバー プロファイルで設定されたバインド DN が正しくない場合は、コマンド実行結果として "invalid credentials" が表示されます。

次の出力例は、バインド DN に "cn=Administrator12" (正:"cn=Administrator")が設定された場合となります:

> show user group-mapping state all

Group Mapping (vsys1, type: active-directory) : grp_mapping

  Bind DN    : CN=Administrator12,CN=Users,DC=pantac2003,DC=com

  Base       : DC=pantac2003,DC=com

  Group Filter: (None)

  User Filter: (None)

  Servers    : configured 1 servers

          10.46.48.101 (389)

                  Last Action Time: 0 secs ago(took 0 secs)

                  Next Action Time: In 60 secs

                   Last LDAP error: Invalid credentials

  Number of Groups: 0

 

次のコマンドを使用して useridd ログからエラー メッセージを取り出すことができます:

> less mp-log useridd.log

Dec 30 15:59:07 connecting to ldap://[10.46.48.101]:389 ...

Dec 30 15:59:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials

Dec 30 15:59:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed

Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed

Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:1061): ldap cfg grp_mapping failed connecting to server 10.46.48.101 index 0

Dec 30 15:59:07 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1942): pan_gm_data_connect_ctrl() failed

Dec 30 15:59:14 Warning: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:546): search aborted

Dec 30 15:59:16 Error: pan_ldap_ctrl_query_group_membership(pan_ldap_ctrl.c:2384): pan_ldap_ctrl_construct_groups() failed

Dec 30 15:59:16 Error: pan_gm_data_update(pan_group_mapping.c:1431): pan_ldap_ctrl_query_group_membership()  failed

Dec 30 15:59:16 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1976): pan_gm_data_update() failed

Dec 30 16:00:07 connecting to ldap://[10.46.48.101]:389 ...

Dec 30 16:00:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials

Dec 30 16:00:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed

Dec 30 16:00:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed

 

LDAP サーバーへの接続を再確立するコマンド:

> debug user-id reset group-mapping <grp_mapping_name>

 

useridd ログの LDAP に関する debug レベルを変更するコマンド:
> debug user-id set ldap all

 

useridd の debug をオンに変更するコマンド:

> debug user-id on debug

 

useridd の debug をオフに変更するコマンド:

> debug user-id off

 

MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAP 通信をキャプチャするコマンド:

> tcpdump filter "port 389"

 

MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAPS (SSL) 通信をキャプチャするコマンド:

> tcpdump filter "port 636"

 

MGT インターフェイスで取得した pcap の内容を確認するコマンド:

> view-pcap mgmt-pcap mgmt.pcap

 

上記で取得した pcap を scp や tftp で外部のホストにエクスポートするコマンド:

> scp export mgmt-pcap from mgmt.pcap to username@host:path

> tftp export mgmt-pcap from mgmt.pcap to <tftp host>

 

著者: sdarapuneni