如何配置无代理用户-ID

较新的文档具有更新的信息。 参考配置服务帐户PAN-OS综合用户-ID代理人. 这篇文章被标记为存档。

脚步

配置无代理用户-ID ，首先创建服务帐户，然后修改和验证安全设置。

在 Active Directory (AD ) 服务器和帕洛阿尔托网络设备:

1. 在中创建服务帐户AD，在设备上使用。 确保用户属于以下组：
   - 分散式COM用户
   - 事件日志阅读器
   - 服务器运营商
   笔记：用户不需要域管理员权限-ID服务帐户正常运行，请参阅保护用户安全的最佳实践-ID部署想要查询更多的信息。
   
   在 Windows 2003 中，必须为服务帐户指定“审计和管理安全日志” 用户权限通过一个组policy. 使该帐户成为 Domain Administrators 组的成员可提供所有操作的权限。 名为“的内置组事件日志读取器”在 Windows 2003 中不可用。
   
   
2. 该设备使用WMI验证并且用户必须修改 CIMV2 安全属性AD连接到设备的服务器。
    
3. 在命令提示符下运行“wmimgmt.msc”以打开控制台并选择以下属性：

   
    

4. 从“安全”选项卡WMI控件属性：
   1.) 选择CIMV2文件夹。
   2.) 点击安全，
   3.) 点击添加然后从第 1 步中选择服务帐户。
   4.) 在这种情况下，它是userid@pantac.lab .
   5.) 对于这个帐户，检查两者允许为了启用帐户和远程启用:
   6.) 点击申请，
   7.) 然后点击OK.
   
   

5. 回到帕洛阿尔托 WebGUI，选择设备 > 用户识别 > 用户映射，然后点击右上角的edit sproket完成帕洛阿尔托网络用户-ID代理设置。

6. 请务必为用户名配置域\用户名格式WMI验证选项卡以及该用户的有效凭据。
    
7. 启用服务器监视器选项并相应地启用安全日志/启用会话。
   默认情况下启用客户端探测，因此如果需要请禁用。
    
8. 如果域是在安装过程中在“常规设置/域”字段中配置的，则用户可以选择发现要连接的服务器。 如果没有，请手动将服务器添加到设备：
   

9. 通过 WebGUI 或CLI:

   > show user server-monitor statistics 
   
   Directory Servers:  
   Name                           TYPE     Host            Vsys    Status           
   -----------------------------------------------------------------------------   
   pantacad2003.pantac.lab        AD       pantacad2003.pantac.lab vsys1   Connected      

   

10. 确认 ip-user-mapping 正在运行。

    > show user ip-user-mapping all
    
    IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
    --------------- ------ ------- -------------------------------- -------------- ----------
    192.168.28.15    vsys1  AD      pantac\tom                      2576          2541
    192.168.29.106   vsys1  AD      pantac\userid                   2660          2624
    192.168.29.110   vsys1  AD      pantac\userid                   2675          2638
    Total: 3 users

11. 确保启用用户识别在将启动可识别流量的区域启用。 在网络 > 区域中选择区域。