Comment faire pour installer l’Agent User-ID de Palo Alto Networks

Avant d'installer l'ID utilisateur, exécutez la liste de vérification suivante:

1. Déterminer la machine que sera installé sur l’user-agent.
   1. Windows XP, Windows 7, Windows 8 ou Windows Server 2003/2008/2012.
   2. Connectivité de réseau sur les contrôleurs de domaine et au port de gestion du pare-feu.
   3. Être membre du domaine.
2. Déterminer quel compte d’utilisateur peut être utilisé par l’agent utilisateur pour interroger le domaine. Ce compte doit le droit de l’utilisateur de lire que les journaux de la sécurité sur les contrôleurs de domaine. Le groupe admins du domaine a ce droit, mais un nouveau groupe peut être créé dans AD qui a ce droit ajouté aux droits de l’utilisateur de base.
3. Déterminer quel domaine (avec les contrôleurs de domaine correspondant) l’user-agent va être interroger. Un agent utilisateur est requis pour chaque domaine et peut gérer un maximum de 64000 utilisateurs dans un domaine.

Étapes

Installation et configuration de l’Agent utilisateur

1. Sélectionnez un PC dans le domaine pour installer le logiciel utilisateur-agent.
2. Téléchargez et installez la dernière version de user-agent de https://support.paloaltonetworks.com
3. Configurez le serveur de l’agent utilisateur pour s’exécuter sous un compte système local, qui est sélectionné par défaut différent.  Ce compte d’utilisateur doit avoir accès en lecture des journaux de sécurité et netbios sonder d’autres machines.  Pour rejoindre le service : outils d’administration > service > pan agent > Connectez-vous > passer d’utilisateur local à ce compte, puis sélectionnez l’utilisateur qui sera utilisé pour ce service.
4. Redémarrer le service agent de PAN.
5. Démarrez l’agent utilisateur GUI, début > programmes > Palo Alto Networks > Agent d’Identification utilisateur dans le coin supérieur droit, puis cliquez sur Configurer.
6. Renseignez les informations suivantes :
   1. Nom de domaine - nom de domaine complet du domaine, par exemple, acme.com.
   2. Numéro de port de votre choix - aucun numéro de port de ne sont pas actuellement utilisé sur cette machine. Assurez-vous que l’ordinateur local n’a pas de pare-feu qui bloque les connexions entrantes à ce port.
   3. Adresse ip de contrôleurs de domaine - ajouter tous les contrôleurs de domaine dans le domaine. Les utilisateurs peuvent être authentifiés avec n’importe quel contrôleur de domaine dans le domaine, alors vous pouvez entrer jusqu'à 10 adresses IP.
   4. Permettre à liste - sous-réseaux qui contiennent des utilisateurs pour assurer le suivi.
   5. Ignore list - adresse IP du serveur terminal server, toutes les autres machines qui pourraient avoir plusieurs utilisateurs connectés simultanément.
   6. Si netbios n’est pas autorisé sur le réseau, désactiver netbios sonder.  De la propriété intellectuelle plus précis à l’appui de mappage utilisateur désactiver netbios sonder.
7. Cliquez sur OK.
8. Vous pouvez surveiller la fenêtre de statut agent dans le coin supérieur gauche, qui ne devrait afficher aucune erreur. Autres messages :
   1. La connexion a échoué.
   2. Lancez tout d’abord le service agent de PAN.
   3. Lecture name\enterprise admins appartenance au domaine.
   4. Pas d’erreurs.
   5. Pour confirmer que le serveur qui exécute que le user-agent est à l’écoute sur le port configuré à l’étape 8, exécutez la commande suivante sur le PC :

      netstat - an | trouver « xxxx »

Configuration du pare-feu pour communiquer avec l’Agent de l’ID utilisateur

1. Dans le pare-feu de Palo Alto Networks et aller sur le périphérique > Identification de l’utilisateur.
2. Configurer le nom, hôte (adresse IP) et le Port de l’Agent utilisateur.
3. Permettre l’identification de l’utilisateur sur chaque zone à surveiller.  Sur le réseau > Zone page, modifier les zones appropriées. Dans le coin inférieur gauche de la page de propriétés de Zone, cochez la case pour activer l’identification de l’utilisateur.
4. Validez les modifications.
5. Pour confirmer la connectivité, exécutez cette commande via CLI du pare-feu APN: afficher les statistiques Pan-agent qui doit retourner l'état connecté, OK.
6. Pour afficher les utilisateurs actuellement connectés, exécutez: Debug dataplane afficher tout l'utilisateur

Test

Pour s’assurer que tout fonctionne, créez une nouvelle règle de sécurité.  Vous devriez être en mesure de sélectionner les utilisateurs ou les groupes.

propriétaire : jnguyen