LDAP 接続のトラブルシュートに有益な CLI コマンド

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Useful CLI Commands to Troubleshoot LDAP Connection

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...

 

概要

このドキュメントでは、グループ情報を参照するために LDAP サーバーへの接続が成功したことを確認することができる CLI コマンドについて説明します。

 

詳細

Device > サーバー プロファイル > LDAP にて LDAP サーバー プロファイルを設定する際、LDAP サーバーへの接続が成功するとデバイスは自動的にベース DN を取得します:

ospf.JPG.jpg

 

base.JPG.jpg

グループ マッピングに LDAP サーバー プロファイルを使用している場合は、show user group-mapping state all コマンドを使用して LDAP 接続に関する情報を表示できます。

例:

> show user group-mapping state all

Group Mapping (vsys1, type: active-directory) : grp_mapping

  Bind DN    : pantac2003\adminatrator

  Base       : DC=pantac2003,DC=com

  Group Filter: (None)

  User Filter: (None)

  Servers    : configured 1 servers

          10.46.48.101 (389)

                  Last Action Time: 2290 secs ago(took 71 secs)

                  Next Action Time: In 1310 secs

  Number of Groups: 121

  cn=administrators,cn=builtin,dc=pantac2003,dc=com

  cn=ras and ias servers,cn=users,dc=pantac2003,dc=com

  cn=s,cn=users,dc=pantac2003,dc=com

 

LDAP サーバー プロファイルで設定されたバインド DN が正しくない場合は、コマンド実行結果として "invalid credentials" が表示されます。

次の出力例は、バインド DN に "cn=Administrator12" (正:"cn=Administrator")が設定された場合となります:

> show user group-mapping state all

Group Mapping (vsys1, type: active-directory) : grp_mapping

  Bind DN    : CN=Administrator12,CN=Users,DC=pantac2003,DC=com

  Base       : DC=pantac2003,DC=com

  Group Filter: (None)

  User Filter: (None)

  Servers    : configured 1 servers

          10.46.48.101 (389)

                  Last Action Time: 0 secs ago(took 0 secs)

                  Next Action Time: In 60 secs

                   Last LDAP error: Invalid credentials

  Number of Groups: 0

 

次のコマンドを使用して useridd ログからエラー メッセージを取り出すことができます:

> less mp-log useridd.log

Dec 30 15:59:07 connecting to ldap://[10.46.48.101]:389 ...

Dec 30 15:59:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials

Dec 30 15:59:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed

Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed

Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:1061): ldap cfg grp_mapping failed connecting to server 10.46.48.101 index 0

Dec 30 15:59:07 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1942): pan_gm_data_connect_ctrl() failed

Dec 30 15:59:14 Warning: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:546): search aborted

Dec 30 15:59:16 Error: pan_ldap_ctrl_query_group_membership(pan_ldap_ctrl.c:2384): pan_ldap_ctrl_construct_groups() failed

Dec 30 15:59:16 Error: pan_gm_data_update(pan_group_mapping.c:1431): pan_ldap_ctrl_query_group_membership()  failed

Dec 30 15:59:16 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1976): pan_gm_data_update() failed

Dec 30 16:00:07 connecting to ldap://[10.46.48.101]:389 ...

Dec 30 16:00:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials

Dec 30 16:00:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed

Dec 30 16:00:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed

 

LDAP サーバーへの接続を再確立するコマンド:

> debug user-id reset group-mapping <grp_mapping_name>

 

useridd ログの LDAP に関する debug レベルを変更するコマンド:
> debug user-id set ldap all

 

useridd の debug をオンに変更するコマンド:

> debug user-id on debug

 

useridd の debug をオフに変更するコマンド:

> debug user-id off

 

MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAP 通信をキャプチャするコマンド:

> tcpdump filter "port 389"

 

MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAPS (SSL) 通信をキャプチャするコマンド:

> tcpdump filter "port 636"

 

MGT インターフェイスで取得した pcap の内容を確認するコマンド:

> view-pcap mgmt-pcap mgmt.pcap

 

上記で取得した pcap を scp や tftp で外部のホストにエクスポートするコマンド:

> scp export mgmt-pcap from mgmt.pcap to username@host:path

> tftp export mgmt-pcap from mgmt.pcap to <tftp host>

 

著者: sdarapuneni