环境
- Palo Alto 防火墙
- PAN-OS 8.1或更高版本
- 组映射(Group Mapping)
概述
Palo Alto Networks防火墙可以从LDAP服务器(如Active Directory或eDirectory)检索用户到组的映射信息。这些数据可以通过防火墙的LDAP查询(通过无代理的User-ID)或通过配置为代理防火墙LDAP查询的User-ID代理来检索。本文件描述了如何在Palo Alto Networks防火墙上配置组映射。
步骤
- 配置 LDAP 服务器配置文件:如何配置 LDAP 服务器配置文件
- 配置如何从LDAP目录中检索组和用户,在PaloAlto防火墙上通过Device > User Identification > Group Mapping Settings创建一个新的组映射条目,然后点击 "Add"。请参考下面的屏幕截图。
- 输入一个名称。对于支持多个虚拟系统的Palo Alto网络,将有一个下拉列表(Location)供其选择。
- 在 "Server Profile "标签下的下拉列表中指定LDAP服务器配置文件(在步骤1中配置)。
注意:所有的属性(Attributes)和对象类别(Object Class)将根据你在 "LDAP服务器配置文件 "中选择的目录服务器类型进行填充。
- 用户组变化的默认更新时间间隔(Update Interval)是3600秒(1小时)。输入一个值来指定一个自定义的时间间隔。
- 点击转到 "Group Include List "标签。如果你想包括所有的组,就把包括列表留空,否则从左边一栏中选择要包括的组,这些组应该被映射。
CLI命令检查检索的组和与LDAP服务器的连接:
> show user group-mapping state all
> show user group list
> show user group name <group name>
注意:当多个组映射配置在同一基础DN或LDAP服务器上时,每个组映射必须包括不重叠的组,即包括组列表不能有任何共同的组。
