Wie installiere ich die Palo Alto Networks Benutzerkennung Agent

Bevor Sie die User-ID installieren, führen Sie die folgende Checkliste durch:

1. Bestimmen Sie die Maschine, die, der auf der User-Agent installiert werden.
   1. Windows XP, Windows 7, Windows 8 oder Windows Server 2003/2008/2012.
   2. Netzwerk-Konnektivität, die DCs und den Management-Port der Firewall.
   3. Ein Mitglied der Domäne sein.
2. Bestimmen Sie, welches Benutzerkonto durch den User-Agent verwendet werden kann, um der Domäne abzufragen. Dieses Konto benötigt das Benutzerrecht zu lesen, dass die Sicherheit auf den Domänencontrollern protokolliert. Die Domänengruppe-Admins hat dieses Recht, aber eine neue Gruppe in AD, die dieses Recht einfache Benutzerrechte hinzugefügt hat erstellt werden kann.
3. Bestimmen Sie, welche Domäne (mit entsprechenden Domänencontroller) User-Agent Abfragen wird. Ein Benutzer-Agent kann ist erforderlich für jede Domäne und maximal 64000 Benutzer in einer Domäne.

Schritte

Installation und Konfiguration des Benutzer-ID-Agents

1. Wählen Sie einen PC in der Domäne, die Benutzer-Agent-Software zu installieren.
2. Download und Installation der neuesten Version von User-Agent von https://support.paloaltonetworks.com
3. Konfigurieren Sie den Benutzer-Agent-Server unter einem anderen Konto als dem lokalen System ausgeführt, die standardmäßig aktiviert ist.  Dieses Benutzerkonto muss Lesezugriff für Sicherheitsprotokolle und NetBIOS-Sondierung von anderen Maschinen.  Kommt man zu dem Dienst: Admin-Tools > Service > Pfanne Agent > anmelden > von lokalen Benutzer auf dieses Konto wechseln, dann wählen Sie den Benutzer, der für diesen Dienst verwendet wird.
4. Starten Sie PAN-Agent-Dienst neu.
5. Starten Sie Benutzer-Agent GUI, Start > Programme > Palo Alto Networks > Benutzer-Identifikation-Agent in der oberen rechten Ecke klicken Sie dann auf konfigurieren.
6. Füllen Sie die folgenden Informationen:
   1. Domain-Namen - FQDN der Domäne, z. B. acme.com.
   2. Port-Nummer Ihrer Wahl - eine port-Nummer, die derzeit nicht auf diesem Computer verwendet. Stellen Sie sicher, dass der lokale Computer keine Firewall, die eingehende Verbindungen zu diesem Port blockiert.
   3. Domäne-Controller Ip Adresse - alle Domänencontroller in der Domäne hinzufügen. Benutzer können mit jeder DC in der Domäne authentifiziert werden, sodass Sie bis zu 10 IP-Adressen eingeben können.
   4. Zulassungsliste - Subnetze, die Benutzer zu verfolgen enthalten.
   5. Ignorieren Sie-Liste - IP-Adresse des Terminalservers, andere Maschinen, die möglicherweise mehrere Benutzer gleichzeitig angemeldet haben könnte.
   6. Wenn Netbios nicht auf das Netzwerk erlaubt ist, deaktivieren Sie Netbios zu sondieren.  Deaktivieren Sie für genauere IP Zuordnung Benutzerunterstützung Netbios zu sondieren.
7. Click OK.
8. Der Agent-Status-Fenster in der oberen linken Ecke, die keine Fehler angezeigt werden sollen, können Sie überwachen. Andere Meldungen:
   1. Verbindung ist fehlgeschlagen.
   2. Bitte zuerst den PAN-Agent-Dienst.
   3. Lesen Sie Name\enterprise Admins Domänenmitgliedschaft.
   4. Keine Fehler.
   5. Um zu bestätigen, dass der Server ausgeführt, dass der User-Agent auf dem Port konfiguriert in Schritt 8 zuhört, führen Sie den folgenden Befehl auf dem PC:

      Netstat - ein | "Xxxx" zu finden

Konfiguration der Firewall, mit der Benutzer-ID-Agent kommunizieren

1. Palo Alto Networks Firewall anmelden und gehen Sie zu Gerät > Benutzeridentifikation.
2. Konfigurieren Sie Name, Host (IP-Adresse) und Port von der User-ID-Agent.
3. Können Sie Benutzeridentifikation auf jede Zone überwacht werden.  Im Netzwerk > Zone Seite, bearbeiten die entsprechenden Zonen. In der unteren linken Ecke der Seite "Zone Eigenschaften" aktivieren Sie das Kontrollkästchen Benutzeridentifikation zu ermöglichen.
4. Übernehmen Sie die Änderungen.
5. Um die Konnektivität zu bestätigen, führen Sie diesen Befehl über CLI der APN Firewall aus: zeigen Sie die Pan-Agent-Statistiken an , die den Zustand mit verbundenen
6. Um derzeit eingeloggte Benutzer anzuzeigen, laufen: Debug dataplane Show Benutzer alle

Testen

Um sicherzustellen, dass alles funktioniert, erstellen Sie eine neue Sicherheitsregel.  Sie sollten Benutzer oder Gruppen auswählen können.

Besitzer: Jnguyen