USG5150 从AD服务器同步账号,无法修改用户所在的组。

发布时间:  2015-12-14 浏览次数:  118 下载次数:  0
问题描述

 1.USG5150 从AD服务器同步账号,部分用户无法修改所在的组,有一部分账号可以修改,而之前从AD同步的账号都可以进行修改。

display user-manage group

[USG5100]dis user-manage group

 11:25:13  2015/11/18

 Current Total Number: 5

 Group Name                                       VPN Instance                   

 --------------------------------------------------------------------------------

 /internet_time_limited                           Public                         

 /internet_limited                                Public                         

 /all_users                                       Public ----------------------------------à账号默认导入这个组all_users,这个组不具有上网的权限。需要修改用户到其他三个组,但是修改不了。                    

 /unlimited                                       Public                         

 root                                             Public  

 

cid:D17908D4@16E51373.A3F34B56.jpg

能修改的用户表为如上图,上面的图片,左边有一个勾选框,同时右边有编辑操作菜单如下图第一个用户为可以修改的账号,下面有绿色小窗的用户没有配置的菜单。



告警信息

无。

处理过程

 1.从新从AD服务器同步账号,提示不同类型的账号不能使用相同的用户名



 

2

怀疑用户根本不存在设备上。

CLI命令行下修改用户,无法进入用户界面,提示User of different type cannot use the same name.与从服务器导入提示一样。

但是删除用户时提示用户不存在。

 

[USG5100]user-manage user wangjianwei
 11:52:46  2015/11/18
  Error: User of different type cannot use the same name.
 [USG5100]undo user-manage user wangjianwei
 11:54:01  2015/11/18
  Error: The specified user does not exist.
 [USG5100] 

3.多次通用户确认能操作的用户是在设备上的生成方式,确定,能修改的用户都是从服务器导入的,而不是同步的用户。

不能修改的的该类用户是通过服务器同步策略同步到设备上的,该类用户存在与设备内存中,不可修改,重启设备后会自动消失。而能修改的用户是通过导入策略导入的用户。这两种用户的属性不一样

user-manage sync-policy tongbu from ad
server template app
server basedn dc=aoshen-spandex,dc=com,dc=cn
destination-group /all_users
user-attribute sAMAccountName
user-filter (&(|(objectclass=person)(objectclass=organizationalperson))(cn=*)(!(objectclass=computer)))
time-interval 1440

V3R1版本,有用户同步策略和导入策略两种,对于该局点需求,应该是配置用户导入策略,把用户导入到设备本地,而不是使用同步策略进行同步。

 

根因

V3R1版本,有用户同步策略和导入策略两种,从AD服务器同步用户是通过服务器同步策略同步到设备上的,该类用户存在与设备内存中,不可修改,重启设备后会自动消失,也无法对用户进行修改操作。如果要配置用户属性,需要同AD服务器导入用户,而不是同步用户。

解决方案

通过服务器同步策略同步到设备上的,该类用户存在与设备内存中,不可修改,重启设备后会自动消失。对于该局点需求,应该是配置用户导入策略,把用户导入到设备本地,
建议与总结

1.在部署用户通过第三方服务器认证的时候,正确理解用户导入和同步的区别,账号属性的区别,避免错误操作。

2.通过服务器同步策略同步到设备上的,该类用户存在与设备内存中,不可修改,重启设备后会自动消失。

3.如果需要修改用户属性,需要从AD服务器导入用户而不是同步用户。

END