如何安装帕洛阿尔托网络用户 ID 代理

在安装用户 ID 之前, 请运行以下检查表:

1. 确定用户代理将被安装在这台机器。
   1. Windows XP、Windows 7、Windows 8 或 Windows 服务器 2003年/2008年/2012年。
   2. 网络连接到 Dc 和防火墙的管理端口。
   3. 是域的成员。
2. 确定用户代理可以使用哪个用户帐户来查询域。此帐户需要读取上的域控制器的安全日志的用户权限。域管理员组拥有这一权利，但在拥有此权限添加到基本用户权限的广告可以创建一个新组。
3. 确定哪个域 （与相应的域控制器） 将查询用户代理。一个用户代理是需要为每个域，并可以处理最多 64000 域中的用户。

步骤

安装和配置的用户 ID 代理

1. 在要安装的用户代理软件的域中选择一台电脑。
2. 从https://support.paloaltonetworks.com 下载并安装最新版本的用户代理
3. 用户代理将服务器配置为在本地系统，默认选中的比不同的帐户下运行。  此用户帐户必须具有读取安全日志和 netbios 探测其他机器的访问权限。  去服务： 管理工具 > 服务 > 泛代理 > 登录 > 从本地用户切换到此帐户，然后选择将用于该服务的用户。
4. 重新启动泛代理服务。
5. 启动用户代理程序 GUI，开始 > 程序 > 帕洛阿尔托网络 > 用户识别代理在右上角，然后单击配置。
6. 填写以下信息：
   1. 域名-域，例如，acme.com 的 FQDN。
   2. 端口号的你的选择--的任何端口号当前未在此计算机上使用。请确保本地计算机没有任何阻止入站的连接到该端口的防火墙。
   3. 域控制器 ip 地址-添加域中的所有 Dc。可以用任何域中的 DC 进行身份验证用户，以便您可以输入最多 10 个 IP 地址。
   4. 允许列表-包含用户跟踪的子网。
   5. 忽略列表-终端服务器的 IP 地址有可能产生多个用户同时登录的任何其他机器。
   6. 如果 netbios 不允许在网络上，禁用 netbios 探测。  为向用户映射支持的更准确 IP，禁用 netbios 探测。
7. 单击"确定".
8. 您可以监视代理状态窗口的左上角，将会显示任何错误。其他消息：
   1. 连接失败。
   2. 请先启动泛代理服务。
   3. 阅读 name\enterprise 管理员的域成员身份。
   4. 没有错误。
   5. 要确认运行用户代理正在侦听的端口配置在步骤 8 中的服务器，PC 上运行以下命令：

      netstat-an |找到"xxxx"

将防火墙配置为与用户 ID 代理进行通讯

1. 登录到帕洛阿尔托网络防火墙，并转到设备 > 用户标识。
2. 配置名称、主机 （IP 地址） 和端口的用户 ID 代理。
3. 启用对要监视的每个区域的用户标识。  在网络上 > 区页面，编辑适当的区域。在区域属性页的左下角，复选框以便启用用户标识。
4. 提交更改。
5. 要确认连接, 请通过 APN 防火墙的 CLI 运行此命令:显示应返回状态的泛型代理统计信息, ok.
6. 要查看当前登录的用户, 请运行:调试 dataplane 显示所有用户

测试

若要确保一切正常，请创建一个新的安全规则。  你应该能够选择用户或组。

所有者： jnguyen