エージェントレス ユーザーの設定方法 -ID

エージェントレス ユーザーの設定方法 -ID

411083
Created On 09/25/18 17:30 PM - Last Modified 06/15/23 21:52 PM


Symptom


新しいドキュメントでは、情報が更新されています。 参照するのサービス アカウントを構成するPAN-OS統合ユーザー-IDエージェント.

Environment


  • パロアルト Firewall
  • PAN-OS 7.1
  • Windows 2003 サーバー

Resolution


新しいドキュメントでは、情報が更新されています。 参照するのサービス アカウントを構成するPAN-OS統合ユーザー-IDエージェント. この記事はアーカイブ用にマークされています。


手順

エージェントレスユーザーを構成するには-ID 、最初にサービス アカウントを作成し、次にセキュリティ設定を変更して確認します。

 

Active Directory で次を構成します (AD ) サーバーと Palo Alto Networks デバイス:

  1. でサービス アカウントを作成します。AD 、デバイスで使用されます。 ユーザーが次のグループに属していることを確認してください。
    - 分散COMユーザー
    - イベント ログ リーダー
    - サーバーオペレーター
    ノート:ユーザーにはドメイン管理者権限は必要ありません-IDサービス アカウントが正しく機能するようにするには、次を参照してください。ユーザーを保護するためのベストプラクティス-IDデプロイメント詳細については。

    Windows 2003 では、サービス アカウントに「セキュリティ ログの監査と管理」 グループを介したユーザー権限policy. アカウントを Domain Administrators グループのメンバーにすると、すべての操作に対する権限が付与されます。 「」という名前の組み込みグループイベント ログ リーダー」は、Windows 2003 では使用できません。
    2016-08-10_08-13-20.jpg
  2. デバイスが使用するWMI認証ユーザーは、ADデバイスに接続するサーバー。
     
  3. コマンド プロンプトで「wmimgmt.msc」を実行してコンソールを開き、次のプロパティを選択します。

    2016-07-13_09-50-02.jpg
     

  4. の [セキュリティ] タブからWMIコントロール プロパティ:
    1.) を選択しますCIMV2フォルダ。
    2.) クリック安全、
    3.) クリック追加次に、ステップ 1 のサービス アカウントを選択します。
    4.) この場合、 userid@pantac.lab .
    5.) このアカウントについては、両方にチェックを入れます許可するにとってアカウントを有効にするリモート有効化:
    6.) クリック申し込み、
    7.) 次にクリックしますOK.
    2016-08-09_userid1.png

  5. Palo Alto WebGUI に戻り、選択します。デバイス > ユーザー識別 > ユーザー マッピング、次に、右上隅の編集スプロケットをクリックしますPalo Alto Networks User-IDエージェントのセットアップ。2016-08-09_userid2.png

  6. 以下のユーザー名を domain\username 形式で構成してください。WMI認証タブに、そのユーザーの有効な資格情報が表示されます。
     
  7. 有効にするサーバーモニターオプションを選択し、それに応じてセキュリティ ログを有効にするか、セッションを有効にします。
    クライアント プローブはデフォルトで有効になっているため、必要に応じて無効にします。
     
  8. セットアップ中に [一般設定/ドメイン] フィールドでドメインが構成されている場合、ユーザーは接続先のサーバーを検出することを選択できます。 そうでない場合は、手動でサーバーをデバイスに追加します。2016-07-13_10-02-16.jpg

  9. WebGUI またはCLI:

    > show user server-monitor statistics 

Directory Servers:  
Name                           TYPE     Host            Vsys    Status           
-----------------------------------------------------------------------------   
pantacad2003.pantac.lab        AD       pantacad2003.pantac.lab vsys1   Connected

    2016-07-13_10-02-17.jpg

  10. ip-user-mapping が機能していることを確認します。
    > show user ip-user-mapping all

IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
192.168.28.15    vsys1  AD      pantac\tom                      2576          2541
192.168.29.106   vsys1  AD      pantac\userid                   2660          2624
192.168.29.110   vsys1  AD      pantac\userid                   2675          2638
Total: 3 users
  11. 確認ユーザー識別を有効にする識別可能なトラフィックが開始されるゾーンで有効になります。 [ネットワーク] > [ゾーン] でゾーンを選択します。
    2016-08-09_userid3.png

 

 

 

 

Additional Information


ユーザー-IDエージェント設定のヒント
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGGCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language