USG6300从AD服务器中导入用户,导入后用户组的用户数量不完整

发布时间:  2015-10-26 浏览次数:  227 下载次数:  0
问题描述

USG6300从AD服务器中导入用户,导入后用户组的用户数量不完整,且某些用户导到了其他用户组中。

处理过程

需要的导入的KV_VPN安全组的绝对路径:



在配置过滤参数来导入用户时
用户过滤参数参数设置为:(&(memberof=cn=KY_VPN,ou=keyuan,dc=keyuanmed,dc=com)(objectclass=person)),导入的用户依旧有问题。



导入用户时查看debugging信息:

[USG-diagnose] debugging ldap all

从debugging信息看,总共导入了111个,导入用户的个数和用户解析到属于该安全组的个数一致。




经核实,KV_VPN安全组的用户曾经导入过设备,后来组织架构有调整,需要重新导入,因为当导入用户已经存在时,在配置修改服务器导入策略时,如果不选中“当前用户存在时,覆盖本地用户记录”的复选框,导入时NGFW会跳过此用户;所以必须选中“当前用户存在时,覆盖本地用户记录”的复选框,导入时NGFW会采用覆盖的方式更新此用户的属性,重新导入后问题解决。


解决方案

当需要导入的用户在设备中已经存在时,在配置修改服务器导入策略时,必须选中“当前用户存在时,覆盖本地用户记录”的复选框,导入时NGFW才会采用覆盖的方式更新此用户的属性。

END