※この記事は以下の記事の日本語訳です。 How to Check Users in LDAP Groups https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Users-in-LDAP-Groups/ta-p/59028
概要
Palo Alto Networks デバイスはセキュリティ ポリシーを作成するためにユーザーとグループを必要に応じて利用することができます。LDAPグループ内のユーザーを確認して管理者はグループ メンバーシップに基づいたアクセス許可ポリシーを作成できます。
詳細
デバイス管理者はIPアドレスではなくユーザーに基づいたアクセスを提供するために LDAP グループを使用します。User-ID エージェントは IP アドレスとユーザーのマッピング情報および Palo Alto Networks ファイアウォールに対する接続性が必要となります。LDAPプロファイルに基づいて User-ID エージェントは LDAP サーバーからグループ情報を読み取ります。これらのマッピングはファイアウォールの IP-user-mapping テーブルに格納され、グループとグループのメンバーはグループ マッピング リストに保存されます。
手順
Palo Alto Networks ファイアウォールにて以下の手順を実行することで LDAP プロファイルからグループを検索します。
全てのグループリストは次のCLIコマンドを使用して読み取ることができます: > show user group list cn=sales,cn=users,dc=al,dc=com cn=it_development,cn=users,dc=al,dc=com cn=groùpé,cn=users,dc=al,dc=com cn=domain admins,cn=users,dc=il,dc=al,dc=com cn=domain guests,cn=users,dc=al,dc=com cn=it,cn=users,dc=al,dc=com cn=marketing,cn=users,dc=al,dc=com cn=it_operations,cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=il,dc=al,dc=com cn=hr,cn=users,dc=al,dc=com cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=vpn_users,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=al,dc=com
詳細なグループ情報を確認するためには以下のコマンドを実行します: > show user group name cn=it_operations,cn=users,dc=al,dc=com source type: service source: AD_Group_Mapping_al.com [1 ] al\alex [2 ] al\biljanap [3 ] al\damem [4 ] al\ilija [5 ] al\ilijaal [6 ] al\ristok [7 ] al\jovan 注意: PAN-OS 6.0 以降では無効な AD ユーザーをリストに追加しません。 次の例では無効になっているADドメインユーザーの "alex" 示しています:
LDAP プロファイル上のグループマッピングは次のコマンドでリセットすることができます: > debug user-id reset group-mapping AD_Group_Mapping group mapping 'AD_Group_Mapping' in vsys1 is marked for reset.
以下のコマンドを実行したときに、該当ユーザーは出力に表示されていません: > show user group name cn=it_operations,cn=users,dc=al,dc=com short name: al\it_operations source type: service source: AD_Group_Mapping [1 ] al\biljanap [2 ] al\damem [3 ] al\ilija [4 ] al\ilijaal [5 ] al\ristok [6 ] al\jovan
著者 : ialeksov
記事全体を表示