Configurer Agentless User- ID , d’abord créer le compte de service, puis modifier et vérifier les paramètres de sécurité.
Configurez les éléments suivants sur le serveur Active Directory (AD) et le périphérique Palo Alto Networks :
Créer le compte de service AD dans , qui est utilisé sur l’appareil. Assurez-vous que l’utilisateur fait partie des groupes suivants : - Utilisateurs distribués COM - Lecteurs de journaux d’événements - Opérateurs de serveur Remarque : Les privilèges d’administrateur de domaine ne sont pas requis pour que le compte de service utilisateurID fonctionne correctement, consultez Meilleures pratiques pour sécuriser les déploiements d’utilisateurs pourID plus d’informations.
Dans Windows 2003, le compte de service doit recevoir l’utilisateur « Auditer et gérer le journal de sécurité » directement via un groupe policy. Faire le compte membre du groupe administrateurs de domaine fournit des droits pour toutes les opérations. Le groupe intégré nommé « Lecteurs du journal des événements » n’est pas disponible dans Windows 2003.
Le périphérique utilise WMI l’authentification et l’utilisateur doit modifier les propriétés de sécurité CIMV2 sur le AD serveur qui se connecte au périphérique.
Exécutez « wmimgmt.msc » sur la ligne de commande pour ouvrir la console et sélectionnez ces propriétés :
Dans l’onglet Sécurité sur WMI Propriétés du contrôle : 1.) Sélectionnez le dossier CIMV2 . 2.) Cliquez sur Sécurité, 3.) Cliquez sur Ajouter, puis sélectionnez le compte de service à l’étape 1. 4.) Dans ce cas, il s’agit de userid@pantac.lab. 5.) Pour ce compte, cochez à la fois Autoriser pour activer le compte et Activer à distance: 6.) Cliquez sur Appliquer, 7.) Cliquez ensuite sur OK.
De retour dans le WebGUI de Palo Alto, sélectionnez l’appareil > identification des utilisateurs > La cartographie des utilisateurs, puis cliquez sur le sproket de modification dans le coin supérieur droit pour compléter la configuration utilisateur-agent de Palo Alto ID Networks.
Assurez-vous de configurer avec le format domain\username pour le nom d’utilisateur sous WMI l’onglet Authentification ainsi que des informations d’identification valides pour cet utilisateur.
Activez les options Moniteur de serveur et activez le journal de sécurité/activer la session en conséquence. L’analyse du client est activée par défaut, donc désactivez-la si vous le souhaitez.
Si le domaine est configuré lors de l’installation dans le champ général paramètres/domaine, l’utilisateur peut choisir découvrir les serveurs avec laquelle se connecter. Si ce n’est pas le cas, ajoutez manuellement un serveur à l’appareil :
Confirmez la connectivité via le WebGUI ou CLI :
> show user server-monitor statistics
Directory Servers:
Name TYPE Host Vsys Status
-----------------------------------------------------------------------------
pantacad2003.pantac.lab AD pantacad2003.pantac.lab vsys1 Connected
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
192.168.28.15 vsys1 AD pantac\tom 2576 2541
192.168.29.106 vsys1 AD pantac\userid 2660 2624
192.168.29.110 vsys1 AD pantac\userid 2675 2638
Total: 3 users
S’assurer que l’identification des utilisateurs est activée dans les zones où un trafic identifiable sera lancé. Sélectionnez la zone réseau > Zone.