Wie installiere ich die Palo Alto Networks Benutzerkennung Agent
165774
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 17:07 PM
Resolution
Bevor Sie die User-ID installieren, führen Sie die folgende Checkliste durch:
- Bestimmen Sie die Maschine, die, der auf der User-Agent installiert werden.
- Windows XP, Windows 7, Windows 8 oder Windows Server 2003/2008/2012.
- Netzwerk-Konnektivität, die DCs und den Management-Port der Firewall.
- Ein Mitglied der Domäne sein.
- Bestimmen Sie, welches Benutzerkonto durch den User-Agent verwendet werden kann, um der Domäne abzufragen. Dieses Konto benötigt das Benutzerrecht zu lesen, dass die Sicherheit auf den Domänencontrollern protokolliert. Die Domänengruppe-Admins hat dieses Recht, aber eine neue Gruppe in AD, die dieses Recht einfache Benutzerrechte hinzugefügt hat erstellt werden kann.
- Bestimmen Sie, welche Domäne (mit entsprechenden Domänencontroller) User-Agent Abfragen wird. Ein Benutzer-Agent kann ist erforderlich für jede Domäne und maximal 64000 Benutzer in einer Domäne.
Schritte
Installation und Konfiguration des Benutzer-ID-Agents
- Wählen Sie einen PC in der Domäne, die Benutzer-Agent-Software zu installieren.
- Download und Installation der neuesten Version von User-Agent von https://support.paloaltonetworks.com
- Konfigurieren Sie den Benutzer-Agent-Server unter einem anderen Konto als dem lokalen System ausgeführt, die standardmäßig aktiviert ist. Dieses Benutzerkonto muss Lesezugriff für Sicherheitsprotokolle und NetBIOS-Sondierung von anderen Maschinen. Kommt man zu dem Dienst: Admin-Tools > Service > Pfanne Agent > anmelden > von lokalen Benutzer auf dieses Konto wechseln, dann wählen Sie den Benutzer, der für diesen Dienst verwendet wird.
- Starten Sie PAN-Agent-Dienst neu.
- Starten Sie Benutzer-Agent GUI, Start > Programme > Palo Alto Networks > Benutzer-Identifikation-Agent in der oberen rechten Ecke klicken Sie dann auf konfigurieren.
- Füllen Sie die folgenden Informationen:
- Domain-Namen - FQDN der Domäne, z. B. acme.com.
- Port-Nummer Ihrer Wahl - eine port-Nummer, die derzeit nicht auf diesem Computer verwendet. Stellen Sie sicher, dass der lokale Computer keine Firewall, die eingehende Verbindungen zu diesem Port blockiert.
- Domäne-Controller Ip Adresse - alle Domänencontroller in der Domäne hinzufügen. Benutzer können mit jeder DC in der Domäne authentifiziert werden, sodass Sie bis zu 10 IP-Adressen eingeben können.
- Zulassungsliste - Subnetze, die Benutzer zu verfolgen enthalten.
- Ignorieren Sie-Liste - IP-Adresse des Terminalservers, andere Maschinen, die möglicherweise mehrere Benutzer gleichzeitig angemeldet haben könnte.
- Wenn Netbios nicht auf das Netzwerk erlaubt ist, deaktivieren Sie Netbios zu sondieren. Deaktivieren Sie für genauere IP Zuordnung Benutzerunterstützung Netbios zu sondieren.
- Click OK.
- Der Agent-Status-Fenster in der oberen linken Ecke, die keine Fehler angezeigt werden sollen, können Sie überwachen. Andere Meldungen:
- Verbindung ist fehlgeschlagen.
- Bitte zuerst den PAN-Agent-Dienst.
- Lesen Sie Name\enterprise Admins Domänenmitgliedschaft.
- Keine Fehler.
- Um zu bestätigen, dass der Server ausgeführt, dass der User-Agent auf dem Port konfiguriert in Schritt 8 zuhört, führen Sie den folgenden Befehl auf dem PC:
Netstat - ein | "Xxxx" zu finden
Konfiguration der Firewall, mit der Benutzer-ID-Agent kommunizieren
- Palo Alto Networks Firewall anmelden und gehen Sie zu Gerät > Benutzeridentifikation.
- Konfigurieren Sie Name, Host (IP-Adresse) und Port von der User-ID-Agent.
- Können Sie Benutzeridentifikation auf jede Zone überwacht werden. Im Netzwerk > Zone Seite, bearbeiten die entsprechenden Zonen. In der unteren linken Ecke der Seite "Zone Eigenschaften" aktivieren Sie das Kontrollkästchen Benutzeridentifikation zu ermöglichen.
- Übernehmen Sie die Änderungen.
- Um die Konnektivität zu bestätigen, führen Sie diesen Befehl über CLI der APN Firewall aus: zeigen Sie die Pan-Agent-Statistiken an , die den Zustand mit verbundenen
- Um derzeit eingeloggte Benutzer anzuzeigen, laufen: Debug dataplane Show Benutzer alle
Testen
Um sicherzustellen, dass alles funktioniert, erstellen Sie eine neue Sicherheitsregel. Sie sollten Benutzer oder Gruppen auswählen können.
Besitzer: Jnguyen