如何配置组映射设置

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings

环境

  • Palo Alto 防火墙
  • PAN-OS 8.1或更高版本
  • 组映射(Group Mapping)

 

概述

Palo Alto Networks防火墙可以从LDAP服务器(如Active Directory或eDirectory)检索用户到组的映射信息。这些数据可以通过防火墙的LDAP查询(通过无代理的User-ID)或通过配置为代理防火墙LDAP查询的User-ID代理来检索。本文件描述了如何在Palo Alto Networks防火墙上配置组映射。

 

步骤

  1. 配置 LDAP 服务器配置文件:如何配置 LDAP 服务器配置文件
  2. 配置如何从LDAP目录中检索组和用户,在PaloAlto防火墙上通过Device > User Identification > Group Mapping Settings创建一个新的组映射条目,然后点击 "Add"。请参考下面的屏幕截图。
wxiao_0-1673952331404.png

 

  1. 输入一个名称。对于支持多个虚拟系统的Palo Alto网络,将有一个下拉列表(Location)供其选择。
  2. 在 "Server Profile "标签下的下拉列表中指定LDAP服务器配置文件(在步骤1中配置)。

注意:所有的属性(Attributes)和对象类别(Object Class)将根据你在 "LDAP服务器配置文件 "中选择的目录服务器类型进行填充。

  1. 用户组变化的默认更新时间间隔(Update Interval)是3600秒(1小时)。输入一个值来指定一个自定义的时间间隔。
  2. 点击转到 "Group Include List "标签。如果你想包括所有的组,就把包括列表留空,否则从左边一栏中选择要包括的组,这些组应该被映射。

 

CLI命令检查检索的组和与LDAP服务器的连接:

> show user group-mapping state all

> show user group list

> show user group name <group name>

 

注意:当多个组映射配置在同一基础DN或LDAP服务器上时,每个组映射必须包括不重叠的组,即包括组列表不能有任何共同的组。

Rate this article:
Register or Sign-in
Contributors
Article Dashboard
Version history
Last update:
‎01-17-2023 02:51 AM
Updated by: