Agentenlose Benutzer-ID konfigurieren

Schritte

Agentenlose User-ID konfigurieren, zuerst erstellen Sie das Dienstkonto dann ändern Sie und überprüfen Sie Sicherheitseinstellungen zu.

Konfigurieren Sie die folgenden auf dem Active Directory (AD) Server und Palo Alto Networks-Gerät:

1. Erstellen Sie das Dienstkonto in AD, die auf dem Gerät verwendet wird. Vergewissern Sie sich, dass der Benutzer Teil der folgenden Gruppen ist:
   -verteilte com-Benutzer
   -Event-Log
   -Reader-Server-Betreiber
   beachten: Domain-admin-Privilegien sind nicht erforderlich, damit das User-ID-Service-Konto OrdnungsGemäß funktioniert, siehe Best Practices für Sicherung von User-ID-Einsätzen für weitere Informationen.
   
   In Windows 2003 muss das Service-Kontoüber eine Gruppenrichtlinie mit dem Nutzer "Audit and Management Security Log" gleich gestellt werden. So dass dem Konto Mitglied der Gruppe "Domänenadministratoren" bietet Rechte für alle Vorgänge. Die eingebaute Gruppe mit dem Namen "Event-Log-Reader" ist in Windows 2003 nicht verfügbar.
   
   
   
2. Das Gerät verwendet die WMI -Authentifizierung und der Benutzer muss die CIMV2-Sicherheitseigenschaften auf dem Anzeigenserver ändern, der sich mit dem Gerät verbindet.
   
   
3. Führen Sie "wmimgmt.msc" auf die Eingabeaufforderung, um die Konsole zu öffnen und wählen diese Eigenschaften:

   
   
   

4. Aus der Registerkarte Sicherheit auf WMI-SteuerungsEigenschaften:
   1.) wählen Sie den CIMV2- Ordner.
   2.) click Security,
   3.) Klicken Sie auf Hinzufügen und wählen Sie dann das Service-Konto aus Schritt 1.
   4.) in diesem Fall ist es UserID@pantac.lab.  
   5.) für dieses Konto, überprüfen Sie sowohl erlauben, um zu aktivieren Konto und Remote-enable:
   6.) klicken Sie auf Apply,
   7.) Dann auf OK klicken.
   
   
   

5. Zurück in der Palo Alto WebGUI, wählen Sie das Gerät > Benutzeridentifikation > Benutzer -Mapping, dann klicken Sie auf die Bearbeitungs-Sproket in der oberen rechten Ecke,um die Palo Alto Networks User-ID Agent Setup abzuschließen. 

6. Vergewissern Sie sich, dass Sie mit dem DOMAIN\-Benutzernamen-Format für Benutzername unter WMI Authentication Tab und gültige Berechtigungen für diesen Benutzer konfigurieren.
   
   
7. Aktivieren Sie die Server-Monitor- Optionen und aktivieren Sie die Sicherheits-Log/enable-Sitzung entsprechend.
   Client-soning ist standardmäßig aktiviert, so dass Sie auf Wunsch deaktiviert werden.
   
   
8. Wenn die Domäne während Setup im Feld Allgemeine Einstellungen/Domäne konfiguriert ist, kann der Benutzer wählen, um Server mit dem Sie eine Verbindung zu entdecken. Wenn dies nicht der Fall ist, einen Server an das Gerät manuell hinzufügen:
   
   

9. Verbindungen durch die WebGUI oder die CLI zu bestätigen:

   > User Server anzeigen-Monitor Statistiken 
   
   VerzeichnisServer:  
   Name Typ Host Vsys Status           
   -----------------------------------------------------------------------------   
   pantacad2003. pantac. Lab AD pantacad2003. pantac. Lab vsys1 Connected      

   

10. Bestätigen Sie, dass User-Ip-Mapping funktioniert.
    

    > Benutzer-IP-User-Mapping alle
    
    IP Vsys von User IdleTimeout (s) MaxTimeout (s)
    ------------------------------------------------------------------------------------
    192.168.28.15 vsys1 AD pantac\tom                      2576 2541
    192.168.29.106 VSYS1 AD pantac\userid 2660 2624
    192.168.29.110 vsys1 AD Pantac\userid 2675 2638
    Total: 3 users       

11. Stellen Sie sicher, dass Die Benutzeridentifikation in den Zonen aktiviert ist, in denen identifizierbarer Verkehr eingeleitet wird. Wählen Sie die Zone im Netzwerk > Zone.
    

Siehe auch

Benutzer-ID Agent-Setup-Tipps

Besitzer: Rkalugdan