※この記事は以下の記事の日本語訳です。
Useful CLI Commands to Troubleshoot LDAP Connection
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...
概要
このドキュメントでは、グループ情報を参照するために LDAP サーバーへの接続が成功したことを確認することができる CLI コマンドについて説明します。
詳細
Device > サーバー プロファイル > LDAP にて LDAP サーバー プロファイルを設定する際、LDAP サーバーへの接続が成功するとデバイスは自動的にベース DN を取得します:
グループ マッピングに LDAP サーバー プロファイルを使用している場合は、show user group-mapping state all コマンドを使用して LDAP 接続に関する情報を表示できます。
例:
> show user group-mapping state all
Group Mapping (vsys1, type: active-directory) : grp_mapping
Bind DN : pantac2003\adminatrator
Base : DC=pantac2003,DC=com
Group Filter: (None)
User Filter: (None)
Servers : configured 1 servers
10.46.48.101 (389)
Last Action Time: 2290 secs ago(took 71 secs)
Next Action Time: In 1310 secs
Number of Groups: 121
cn=administrators,cn=builtin,dc=pantac2003,dc=com
cn=ras and ias servers,cn=users,dc=pantac2003,dc=com
cn=s,cn=users,dc=pantac2003,dc=com
LDAP サーバー プロファイルで設定されたバインド DN が正しくない場合は、コマンド実行結果として "invalid credentials" が表示されます。
次の出力例は、バインド DN に "cn=Administrator12" (正:"cn=Administrator")が設定された場合となります:
> show user group-mapping state all
Group Mapping (vsys1, type: active-directory) : grp_mapping
Bind DN : CN=Administrator12,CN=Users,DC=pantac2003,DC=com
Base : DC=pantac2003,DC=com
Group Filter: (None)
User Filter: (None)
Servers : configured 1 servers
10.46.48.101 (389)
Last Action Time: 0 secs ago(took 0 secs)
Next Action Time: In 60 secs
Last LDAP error: Invalid credentials
Number of Groups: 0
次のコマンドを使用して useridd ログからエラー メッセージを取り出すことができます:
> less mp-log useridd.log
Dec 30 15:59:07 connecting to ldap://[10.46.48.101]:389 ...
Dec 30 15:59:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials
Dec 30 15:59:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind() failed
Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed
Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:1061): ldap cfg grp_mapping failed connecting to server 10.46.48.101 index 0
Dec 30 15:59:07 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1942): pan_gm_data_connect_ctrl() failed
Dec 30 15:59:14 Warning: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:546): search aborted
Dec 30 15:59:16 Error: pan_ldap_ctrl_query_group_membership(pan_ldap_ctrl.c:2384): pan_ldap_ctrl_construct_groups() failed
Dec 30 15:59:16 Error: pan_gm_data_update(pan_group_mapping.c:1431): pan_ldap_ctrl_query_group_membership() failed
Dec 30 15:59:16 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1976): pan_gm_data_update() failed
Dec 30 16:00:07 connecting to ldap://[10.46.48.101]:389 ...
Dec 30 16:00:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials
Dec 30 16:00:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind() failed
Dec 30 16:00:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed
LDAP サーバーへの接続を再確立するコマンド:
> debug user-id reset group-mapping <grp_mapping_name>
useridd ログの LDAP に関する debug レベルを変更するコマンド:
> debug user-id set ldap all
useridd の debug をオンに変更するコマンド:
> debug user-id on debug
useridd の debug をオフに変更するコマンド:
> debug user-id off
MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAP 通信をキャプチャするコマンド:
> tcpdump filter "port 389"
MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAPS (SSL) 通信をキャプチャするコマンド:
> tcpdump filter "port 636"
MGT インターフェイスで取得した pcap の内容を確認するコマンド:
> view-pcap mgmt-pcap mgmt.pcap
上記で取得した pcap を scp や tftp で外部のホストにエクスポートするコマンド:
> scp export mgmt-pcap from mgmt.pcap to username@host:path
> tftp export mgmt-pcap from mgmt.pcap to <tftp host>
著者: sdarapuneni
