Para configurar Agentless User- ID , primero cree la cuenta de servicio y, a continuación, modifique y compruebe la configuración de seguridad.
Configure lo siguiente en el servidor de Active Directory (AD) y en el dispositivo de Palo Alto Networks:
Cree la cuenta de servicio en AD , que se utiliza en el dispositivo. Asegúrese de que el usuario forma parte de los siguientes grupos: - Usuarios distribuidos COM - Lectores de registro de eventos - Operadores de servidor Nota: No se requieren privilegios de administrador de dominio para que la cuenta deID servicio de usuario funcione correctamente, consulte Prácticas recomendadas para proteger las implementaciones de usuariosID para obtener más información.
En Windows 2003, la cuenta de servicio debe tener el derecho de usuario "Auditar y administrar el registro de seguridad" a través de un grupo policy. Haciendo la cuenta de un miembro del grupo administradores de dominio ofrece los derechos para todas las operaciones. El grupo integrado denominado "Lectores de registro de sucesos" no está disponible en Windows 2003.
El dispositivo utiliza WMI la autenticación y el usuario debe modificar las propiedades de seguridad CIMV2 en el AD servidor que se conecta al dispositivo.
Ejecute 'wmimgmt.msc' en el símbolo del sistema para abrir la consola y seleccione estas propiedades:
Desde la ficha Seguridad en WMI Propiedades de control: 1.) Seleccione la carpeta CIMV2 . 2.) Haga clic en Seguridad, 3.) Haga clic en Agregar y, a continuación, seleccione la cuenta de servicio en el paso 1. 4.) En este caso, es userid@pantac.lab. 5.) Para esta cuenta, marque Permitir para habilitar cuenta y Habilitar remotamente: 6.) Haga clic en Aplicar, 7.) A continuación, haga clic en OK.
De vuelta en palo alto WebGUI, seleccione dispositivo > identificación de usuario > asignación de usuario, a continuación, haga clic en editar sproket en la esquina superior derecha para completar la configuración del agente de usuario de Palo Alto ID Networks.
Asegúrese de configurar con el formato domain\username para el nombre de usuario en la pestaña WMI Autenticación junto con las credenciales válidas para ese usuario.
Habilite las opciones de Monitor de servidor y habilite el registro de seguridad/sesión de habilitación en consecuencia. El sondeo de cliente está habilitado de forma predeterminada, así que desactívelo si lo desea.
Si el dominio está configurado durante la instalación en el campo configuración General/dominio, el usuario puede elegir descubrir los servidores con los cuales conectarse. Si no es así, agregue manualmente un servidor al dispositivo:
Confirme la conectividad a través del WebGUI CLI o:
> show user server-monitor statistics
Directory Servers:
Name TYPE Host Vsys Status
-----------------------------------------------------------------------------
pantacad2003.pantac.lab AD pantacad2003.pantac.lab vsys1 Connected
Confirman que mapping de usuario ip está trabajando.
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
192.168.28.15 vsys1 AD pantac\tom 2576 2541
192.168.29.106 vsys1 AD pantac\userid 2660 2624
192.168.29.110 vsys1 AD pantac\userid 2675 2638
Total: 3 users
Asegúrese de que la identificación del usuario del permiso esté habilitada en las zonas donde se iniciará el tráfico identificable. Seleccione la zona en la red > zona.