Cómo configurar el usuario sin agente-ID

La documentación más reciente tiene información actualizada. Consulte Configurar una cuenta de servicio para el agente de PAN-OS usuarioID integrado. Este artículo está marcado para archivo.

Pasos

Para configurar Agentless User- ID , primero cree la cuenta de servicio y, a continuación, modifique y compruebe la configuración de seguridad.

Configure lo siguiente en el servidor de Active Directory (AD) y en el dispositivo de Palo Alto Networks:
 

1. Cree la cuenta de servicio en AD , que se utiliza en el dispositivo. Asegúrese de que el usuario forma parte de los siguientes grupos: - Usuarios
   distribuidos COM - Lectores
   de registro de eventos - Operadores
   de servidor Nota:
   No se requieren privilegios de administrador de dominio para que la cuenta deID servicio de usuario funcione correctamente, consulte Prácticas recomendadas para proteger las implementaciones de usuariosID para obtener más información.
   
   En Windows 2003, la cuenta de servicio debe tener el derecho de usuario "Auditar y administrar el registro de seguridad" a través de un grupo policy. Haciendo la cuenta de un miembro del grupo administradores de dominio ofrece los derechos para todas las operaciones. El grupo integrado denominado "Lectores de registro de sucesos" no está disponible en Windows 2003.
   
    
2. El dispositivo utiliza WMI la autenticación y el usuario debe modificar las propiedades de seguridad CIMV2 en el AD servidor que se conecta al dispositivo.
    
3. Ejecute 'wmimgmt.msc' en el símbolo del sistema para abrir la consola y seleccione estas propiedades:

   
    

4. Desde la ficha Seguridad en WMI Propiedades de control:
   1.) Seleccione la carpeta CIMV2 .
   2.) Haga clic en Seguridad,
   3.) Haga clic en Agregar y, a continuación, seleccione la cuenta de servicio en el paso 1.
   4.) En este caso, es userid@pantac.lab. 
   5.) Para esta cuenta, marque Permitir para habilitar cuenta y Habilitar remotamente:
   6.) Haga clic en Aplicar,
   7.) A continuación, haga clic en OK.
   
    

5. De vuelta en palo alto WebGUI, seleccione dispositivo > identificación de usuario > asignación de usuario, a continuación, haga clic en editar sproket en la esquina superior derecha para completar la configuración del agente de usuario de Palo Alto   ID Networks.

6. Asegúrese de configurar con el formato domain\username para el nombre de usuario en la pestaña WMI Autenticación junto con las credenciales válidas para ese usuario.
    
7. Habilite las opciones de Monitor de servidor y habilite el registro de seguridad/sesión de habilitación en consecuencia.
   El sondeo de cliente está habilitado de forma predeterminada, así que desactívelo si lo desea.
    
8. Si el dominio está configurado durante la instalación en el campo configuración General/dominio, el usuario puede elegir descubrir los servidores con los cuales conectarse. Si no es así, agregue manualmente un servidor al dispositivo:
    

9. Confirme la conectividad a través del WebGUI CLI o:

   > show user server-monitor statistics 
   
   Directory Servers:  
   Name                           TYPE     Host            Vsys    Status           
   -----------------------------------------------------------------------------   
   pantacad2003.pantac.lab        AD       pantacad2003.pantac.lab vsys1   Connected      

   

10. Confirman que mapping de usuario ip está trabajando.

    > show user ip-user-mapping all
    
    IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
    --------------- ------ ------- -------------------------------- -------------- ----------
    192.168.28.15    vsys1  AD      pantac\tom                      2576          2541
    192.168.29.106   vsys1  AD      pantac\userid                   2660          2624
    192.168.29.110   vsys1  AD      pantac\userid                   2675          2638
    Total: 3 users

11. Asegúrese de que la identificación del usuario del permiso esté habilitada en las zonas donde se iniciará el tráfico identificable. Seleccione la zona en la red > zona.