环境 Palo Alto 防火墙 PAN-OS 8.1或更高版本 组映射（Group Mapping）   概述 Palo Alto Networks防火墙可以从LDAP服务器（如Active Directory或eDirectory）检索用户到组的映射信息。这些数据可以通过防火墙的LDAP查询（通过无代理的User-ID）或通过配置为代理防火墙LDAP查询的User-ID代理来检索。本文件描述了如何在Palo Alto Networks防火墙上配置组映射。   步骤 配置 LDAP 服务器配置文件：如何配置 LDAP 服务器配置文件 配置如何从LDAP目录中检索组和用户，在PaloAlto防火墙上通过Device > User Identification > Group Mapping Settings创建一个新的组映射条目，然后点击 "Add"。请参考下面的屏幕截图。   输入一个名称。对于支持多个虚拟系统的Palo Alto网络，将有一个下拉列表（Location）供其选择。 在 "Server Profile "标签下的下拉列表中指定LDAP服务器配置文件（在步骤1中配置）。 注意：所有的属性（Attributes）和对象类别（Object Class）将根据你在 "LDAP服务器配置文件 "中选择的目录服务器类型进行填充。 用户组变化的默认更新时间间隔（Update Interval）是3600秒（1小时）。输入一个值来指定一个自定义的时间间隔。 点击转到 "Group Include List "标签。如果你想包括所有的组，就把包括列表留空，否则从左边一栏中选择要包括的组，这些组应该被映射。   CLI命令检查检索的组和与LDAP服务器的连接： > show user group-mapping state all > show user group list > show user group name <group name>   注意：当多个组映射配置在同一基础DN或LDAP服务器上时，每个组映射必须包括不重叠的组，即包括组列表不能有任何共同的组。