Cómo instalar al agente de ID de usuario de Palo Alto Networks

Antes de instalar User-ID, ejecute la siguiente lista de comprobación:

1. Determinar la máquina que se instalará en el agente de usuario.
   1. Windows XP, Windows 7, Windows 8 o Windows Server 2003/2008/2012.
   2. Conectividad de red a los controladores de dominio y el puerto de administración del firewall.
   3. Ser miembro del dominio.
2. Determinar qué cuenta de usuario se puede utilizar por el agente de usuario a consultar el dominio. Esta cuenta tiene el derecho de usuario, leer que registros de la seguridad en los controladores de dominio. El grupo de administradores de dominio tiene este derecho, pero puede crear un nuevo grupo en AD que tiene este derecho a los derechos básicos del usuario.
3. Determinar qué dominio (con los correspondientes controladores de dominio) el agente de usuario a consultar. Un agente de usuario es necesario para cada dominio y puede manejar un máximo de 64000 usuarios en un dominio.

Pasos

Instalar y configurar al agente de usuario

1. Seleccione un PC en el dominio para instalar el software de agente de usuario.
2. Descargue e instale la última versión del usuario-agente de https://support.paloaltonetworks.com
3. Configurar el servidor de agente de usuario para ejecutar bajo una cuenta distinta de sistema local, que está seleccionada por defecto.  Esta cuenta de usuario debe tener acceso para leer registros de seguridad y netbios sondeo de otras máquinas.  Para el servicio: herramientas administrativas > servicio > pan agente > sesión > cambiar de usuario local a esta cuenta, a continuación, seleccione el usuario que se utilizará para este servicio.
4. Reinicie el servicio de agente de PAN.
5. Iniciar el agente de usuario GUI, Inicio > programas > Palo Alto Networks > agente de identificación de usuario en la esquina superior derecha, haga clic en configurar.
6. Rellene la siguiente información:
   1. Nombre de dominio - nombre de dominio completo del dominio, por ejemplo, acme.com.
   2. Número de puerto de su elección - cualquier puerto número actualmente no utilizado en esta máquina. Asegúrese de que el equipo local no tiene ningún firewall que está bloqueando las conexiones entrantes a ese puerto.
   3. Dirección ip de los controladores de dominio - agregar todos los controladores de dominio en el dominio. Los usuarios se pueden autentificar con cualquier DC del dominio, así que usted puede introducir hasta 10 direcciones IP.
   4. Permitir lista - subredes que contienen los usuarios a seguir.
   5. Ignorar lista - dirección IP del servidor de terminal server, los otros equipos que potencialmente podrían tener múltiples usuarios conectados forma simultánea.
   6. Si netbios no está permitido en la red, deshabilitar netbios de sondeo.  Para IP más precisa para soporte de mapping de usuario, deshabilitar netbios de sondeo.
7. Haga clic en Aceptar.
8. Puede controlar la ventana de estado del agente en la esquina superior izquierda, que no debe mostrar errores. Otros mensajes:
   1. Error de conexión.
   2. Por favor, inicie el servicio de agente de PAN primero.
   3. Miembro de administradores de name\enterprise de dominio de lectura.
   4. No hay errores.
   5. Para confirmar el servidor que ejecuta que el agente de usuario está escuchando en el puerto configurado en el paso 8, ejecute el siguiente comando en el PC:

      netstat - un | encontrar "xxxx"

Configurar el firewall para comunicarse con el agente de usuario

1. Inicie sesión en el servidor de seguridad de Palo Alto Networks y vaya a dispositivo > identificación del usuario.
2. Configurar nombre, Host (dirección IP) y puerto del agente de usuario.
3. Permiten la identificación del usuario en cada zona a controlar.  En la red > zona página, editar las zonas apropiadas. En la esquina inferior izquierda de la página de propiedades de zona, marque la casilla para habilitar la identificación del usuario.
4. Cometer los cambios.
5. Para confirmar la conectividad, ejecute este comando a través de CLI de APN Firewall: Mostrar las estadísticas del agente de pan que debe devolver el estado conectado, OK.
6. Para ver usuarios registrados actualmente, ejecute: depurar el plan de los clientes Mostrar todo el usuario

Prueba

Para asegurarse de que todo funciona, crear una nueva regla de seguridad.  Usted debe ser capaz de seleccionar usuarios o grupos.

Propietario: jnguyen