환경
팔로알토 방화벽.
PAN-OS 8.1 이상.
그룹 매핑.
해상도
개요
팔로알토 네트웍스 방화벽은 액티브 디렉터리 또는 e디렉토리와 같은 LDAP 서버에서 사용자-그룹 매핑 정보를 검색할 수 있습니다. 이 데이터는 방화벽의 LDAP 쿼리(에이전트가 없는 사용자 ID를 통해)를 통해 검색하거나 방화벽 LDAP 쿼리를 프록시하도록 구성된 사용자 ID 에이전트를 통해 검색할 수 있습니다. 이 문서에서는 팔로알토 네트웍스 방화벽에서 그룹 매핑을 구성하는 방법을 설명합니다.
단계
1. LDAP 서버 프로필을 구성합니다
2.LDAP 디렉터리에서 그룹과 사용자를 검색하는 방법을 구성하려면 장치 > 사용자 식별 > 그룹 매핑 설정 탭으로 이동하여 새 그룹 매핑 항목을 생성하고 '추가'를 클릭하세요. 아래 스크린샷을 참조하세요.
- 이름을 입력하십시오. 다중 가상 시스템을 지원하는 Palo Alto Networks의 경우 드롭다운 목록 (위치)이 제공되어 선택할 수 있습니다.
- 서버 프로파일 탭 아래의 드롭다운 목록에서 LDAP 서버 프로파일을 지정하십시오 (단계 1에서 구성). 참고: 모든 속성과 객체 클래스는 "LDAP 서버 프로파일"에서 선택한 디렉터리 서버 유형을 기반으로 채워집니다.
- 사용자 그룹 변경 사항의 기본 업데이트 간격은 3600초 (1시간)입니다. 사용자 정의 간격을 지정하려면 값을 입력하십시오.
- 그룹 포함 목록 탭으로 이동하십시오. 모든 그룹을 포함하려면 포함 목록을 비워두거나 매핑해야 할 왼쪽 열에서 포함할 그룹을 선택하십시오.
LDAP 서버로부터 검색된 그룹 및 연결 상태를 확인하는 CLI 명령어:
>show user group-mapping state all
>show user group list
>show user group name <그룹 이름>
참고: 동일한 기본 DN 또는 LDAP 서버로 여러 그룹 매핑이 구성된 경우, 각 그룹 매핑은 중첩되지 않는 그룹을 포함해야 합니다. 즉, 포함 그룹 목록은 공통 그룹이 없어야 합니다.
