如何安装帕洛阿尔托网络用户 ID 代理
165776
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 17:07 PM
Resolution
在安装用户 ID 之前, 请运行以下检查表:
- 确定用户代理将被安装在这台机器。
- Windows XP、Windows 7、Windows 8 或 Windows 服务器 2003年/2008年/2012年。
- 网络连接到 Dc 和防火墙的管理端口。
- 是域的成员。
- 确定用户代理可以使用哪个用户帐户来查询域。此帐户需要读取上的域控制器的安全日志的用户权限。域管理员组拥有这一权利,但在拥有此权限添加到基本用户权限的广告可以创建一个新组。
- 确定哪个域 (与相应的域控制器) 将查询用户代理。一个用户代理是需要为每个域,并可以处理最多 64000 域中的用户。
步骤
安装和配置的用户 ID 代理
- 在要安装的用户代理软件的域中选择一台电脑。
- 从https://support.paloaltonetworks.com 下载并安装最新版本的用户代理
- 用户代理将服务器配置为在本地系统,默认选中的比不同的帐户下运行。 此用户帐户必须具有读取安全日志和 netbios 探测其他机器的访问权限。 去服务: 管理工具 > 服务 > 泛代理 > 登录 > 从本地用户切换到此帐户,然后选择将用于该服务的用户。
- 重新启动泛代理服务。
- 启动用户代理程序 GUI,开始 > 程序 > 帕洛阿尔托网络 > 用户识别代理在右上角,然后单击配置。
- 填写以下信息:
- 域名-域,例如,acme.com 的 FQDN。
- 端口号的你的选择--的任何端口号当前未在此计算机上使用。请确保本地计算机没有任何阻止入站的连接到该端口的防火墙。
- 域控制器 ip 地址-添加域中的所有 Dc。可以用任何域中的 DC 进行身份验证用户,以便您可以输入最多 10 个 IP 地址。
- 允许列表-包含用户跟踪的子网。
- 忽略列表-终端服务器的 IP 地址有可能产生多个用户同时登录的任何其他机器。
- 如果 netbios 不允许在网络上,禁用 netbios 探测。 为向用户映射支持的更准确 IP,禁用 netbios 探测。
- 单击"确定".
- 您可以监视代理状态窗口的左上角,将会显示任何错误。其他消息:
- 连接失败。
- 请先启动泛代理服务。
- 阅读 name\enterprise 管理员的域成员身份。
- 没有错误。
- 要确认运行用户代理正在侦听的端口配置在步骤 8 中的服务器,PC 上运行以下命令:
netstat-an |找到"xxxx"
将防火墙配置为与用户 ID 代理进行通讯
- 登录到帕洛阿尔托网络防火墙,并转到设备 > 用户标识。
- 配置名称、主机 (IP 地址) 和端口的用户 ID 代理。
- 启用对要监视的每个区域的用户标识。 在网络上 > 区页面,编辑适当的区域。在区域属性页的左下角,复选框以便启用用户标识。
- 提交更改。
- 要确认连接, 请通过 APN 防火墙的 CLI 运行此命令:显示应返回状态的泛型代理统计信息, ok.
- 要查看当前登录的用户, 请运行:调试 dataplane 显示所有用户
测试
若要确保一切正常,请创建一个新的安全规则。 你应该能够选择用户或组。
所有者: jnguyen