그룹 매핑 설정 방법

환경
팔로알토 방화벽.
PAN-OS 8.1 이상.
그룹 매핑.

해상도
개요
팔로알토 네트웍스 방화벽은 액티브 디렉터리 또는 e디렉토리와 같은 LDAP 서버에서 사용자-그룹 매핑 정보를 검색할 수 있습니다. 이 데이터는 방화벽의 LDAP 쿼리(에이전트가 없는 사용자 ID를 통해)를 통해 검색하거나 방화벽 LDAP 쿼리를 프록시하도록 구성된 사용자 ID 에이전트를 통해 검색할 수 있습니다. 이 문서에서는 팔로알토 네트웍스 방화벽에서 그룹 매핑을 구성하는 방법을 설명합니다.

단계
1. LDAP 서버 프로필을 구성합니다

2.LDAP 디렉터리에서 그룹과 사용자를 검색하는 방법을 구성하려면 장치 > 사용자 식별 > 그룹 매핑 설정 탭으로 이동하여 새 그룹 매핑 항목을 생성하고 '추가'를 클릭하세요. 아래 스크린샷을 참조하세요.

3. 이름을 입력하십시오. 다중 가상 시스템을 지원하는 Palo Alto Networks의 경우 드롭다운 목록 (위치)이 제공되어 선택할 수 있습니다.
4. 서버 프로파일 탭 아래의 드롭다운 목록에서 LDAP 서버 프로파일을 지정하십시오 (단계 1에서 구성). 참고: 모든 속성과 객체 클래스는 "LDAP 서버 프로파일"에서 선택한 디렉터리 서버 유형을 기반으로 채워집니다.
5. 사용자 그룹 변경 사항의 기본 업데이트 간격은 3600초 (1시간)입니다. 사용자 정의 간격을 지정하려면 값을 입력하십시오.
6. 그룹 포함 목록 탭으로 이동하십시오. 모든 그룹을 포함하려면 포함 목록을 비워두거나 매핑해야 할 왼쪽 열에서 포함할 그룹을 선택하십시오.

LDAP 서버로부터 검색된 그룹 및 연결 상태를 확인하는 CLI 명령어:

>show user group-mapping state all

>show user group list

>show user group name <그룹 이름>

참고: 동일한 기본 DN 또는 LDAP 서버로 여러 그룹 매핑이 구성된 경우, 각 그룹 매핑은 중첩되지 않는 그룹을 포함해야 합니다. 즉, 포함 그룹 목록은 공통 그룹이 없어야 합니다.