Comment configurer l’utilisateur sans agent-ID

Comment configurer l’utilisateur sans agent-ID

411113
Created On 09/25/18 17:30 PM - Last Modified 06/15/23 21:52 PM


Symptom


La documentation la plus récente contient des informations mises à jour. Reportez-vous à la section Configurer un compte de service pour l’agent PAN-OS utilisateurID intégré.

Environment


  • Palo Alto (Palo Alto) Firewall
  • PAN-OS 7,1
  • Serveur Windows 2003

Resolution


La documentation la plus récente contient des informations mises à jour. Reportez-vous à la section Configurer un compte de service pour l’agent PAN-OS utilisateurID intégré. Cet article est marqué pour l’archive.


Étapes

Configurer Agentless User- ID , d’abord créer le compte de service, puis modifier et vérifier les paramètres de sécurité.

 

Configurez les éléments suivants sur le serveur Active Directory (AD) et le périphérique Palo Alto Networks :
 

  1. Créer le compte de service AD dans , qui est utilisé sur l’appareil. Assurez-vous que l’utilisateur fait partie des groupes suivants : - Utilisateurs
    distribués COM - Lecteurs
    de journaux d’événements - Opérateurs de serveur Remarque :
    Les privilèges d’administrateur de domaine ne sont pas requis pour que le compte de
    service utilisateurID fonctionne correctement, consultez Meilleures pratiques pour sécuriser les déploiements d’utilisateurs pourID plus d’informations.

    Dans Windows 2003, le compte de service doit recevoir l’utilisateur « Auditer et gérer le journal de sécurité » directement via un groupe policy. Faire le compte membre du groupe administrateurs de domaine fournit des droits pour toutes les opérations. Le groupe intégré nommé « Lecteurs du journal des événements » n’est pas disponible dans Windows 2003.
    2016-08-10_08-13-20.jpg
     
  2. Le périphérique utilise WMI l’authentification et l’utilisateur doit modifier les propriétés de sécurité CIMV2 sur le AD serveur qui se connecte au périphérique.
     
  3. Exécutez « wmimgmt.msc » sur la ligne de commande pour ouvrir la console et sélectionnez ces propriétés :

    2016-07-13_09-50-02.jpg
     

  4. Dans l’onglet Sécurité sur WMI Propriétés du contrôle :
    1.) Sélectionnez le dossier CIMV2 .
    2.) Cliquez sur Sécurité,
    3.) Cliquez sur Ajouter, puis sélectionnez le compte de service à l’étape 1.
    4.) Dans ce cas, il s’agit de userid@pantac.lab. 
    5.) Pour ce compte, cochez à la fois Autoriser pour activer le compte et Activer à distance:
    6.) Cliquez sur Appliquer,
    7.) Cliquez ensuite sur OK.
    2016-08-09_userid1.png
     

  5. De retour dans le WebGUI de Palo Alto, sélectionnez l’appareil > identification des utilisateurs > La cartographie des utilisateurs, puis cliquez sur le sproket de modification dans le coin supérieur droit pour compléter la configuration   utilisateur-agent de Palo Alto ID Networks.2016-08-09_userid2.png

  6. Assurez-vous de configurer avec le format domain\username pour le nom d’utilisateur sous WMI l’onglet Authentification ainsi que des informations d’identification valides pour cet utilisateur.
     
  7. Activez les options Moniteur de serveur et activez le journal de sécurité/activer la session en conséquence.
    L’analyse du client est activée par défaut, donc désactivez-la si vous le souhaitez.
     
  8. Si le domaine est configuré lors de l’installation dans le champ général paramètres/domaine, l’utilisateur peut choisir découvrir les serveurs avec laquelle se connecter. Si ce n’est pas le cas, ajoutez manuellement un serveur à l’appareil :2016-07-13_10-02-16.jpg
     

  9. Confirmez la connectivité via le WebGUI ou CLI :

    > show user server-monitor statistics 

Directory Servers:  
Name                           TYPE     Host            Vsys    Status           
-----------------------------------------------------------------------------   
pantacad2003.pantac.lab        AD       pantacad2003.pantac.lab vsys1   Connected

    2016-07-13_10-02-17.jpg

  10. Vérifier qu’ip-utilisateur-cartographie fonctionne.
    > show user ip-user-mapping all

IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
192.168.28.15    vsys1  AD      pantac\tom                      2576          2541
192.168.29.106   vsys1  AD      pantac\userid                   2660          2624
192.168.29.110   vsys1  AD      pantac\userid                   2675          2638
Total: 3 users
  11. S’assurer que l’identification des utilisateurs est activée dans les zones où un trafic identifiable sera lancé. Sélectionnez la zone réseau > Zone.
    2016-08-09_userid3.png

 

 

 

 

Additional Information


Conseils de configuration ID utilisateur-agent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGGCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language