Comment configurer et vérifier le collecteur d'ID utilisateur dans Pan-OS

Comment configurer et vérifier le collecteur d'ID utilisateur dans Pan-OS

64568
Created On 09/26/18 13:48 PM - Last Modified 06/06/23 02:53 AM


Resolution


Vue d’ensemble

Le pare-feu de réseaux de Palo Alto peut être configuré en tant que collecteur et redistribuer des informations de mappage d'utilisateur à d'autres pare-feu de réseaux de Palo Alto sur votre réseau. Ce document décrit comment configurer un pare-feu de redistribution et vérifier la configuration à partir de l'interface CLI.

 

Remarque :

  • Seules les informations de mappage utilisateur collectées par la fonctionnalité ID utilisateur sans agent (mappage utilisateur Pan-OS) seront redistribuées aux autres pare-feu.
  • Si plusieurs pare-feu doivent extraire des mappages à partir du collecteur, ils doivent tous spécifier le nom du collecteur dans l'onglet User ID agent.
  • Le collecteur ne redistribue pas les mappages à partir de Terminal Server-c'est le comportement attendu.

 

Étapes

  1. Accédez à Device > identification de l'utilisateur
  2. Dans l' onglet mappage utilisateur , cliquez sur l' icône modifier
    Screen Shot 2013-02-06 à 11.46.37 AM. png
  3. Configurez le collecteur à partir de l'onglet redistribution en saisissant un nom de collecteur et une clé pré-partagée. Ces informations sont utilisées par les pare-feu qui vont extraire les informations de mappage utilisateur.
    Collecteur. Jpg
  4. Vérifiez le nom du collecteur sur le périphérique > identification de l'utilisateur > onglet mappage utilisateur . L'image ci-dessous montre également que le mappage utilisateur a été configuré pour un serveur Active Directory.
    userid_collector. Jpg
  5. Assurez-vous que le service User-ID est activé sur un profil d'interface de gestion
  6. Accédez au réseau > profils réseau > interface Mgmt
  7. Ouvrez le profil appliqué à l'interface appropriée ou ajoutez un nouveau profil
  8. Activer le service ID utilisateur dans le profil

Remarque: Si vous utilisez une interface Dataplane, configurez un itinéraire de service pour cette interface sur la sélection de l'agent uid.

Screen Shot 2013-02-06 à 1.32.32 PM. png

        9. Validez les modifications. Cela complète la configuration du collecteur.

 

Configurez un pare-feu de Palo Alto Networks pour récupérer les mappages utilisateur IP du collecteur.

  1. Accédez à l'onglet User-ID agents de Device > identification de l'utilisateur
  2. Cliquez sur ajouter et entrez des valeurs dans les champs. Le nom du collecteur et les champs clés pré-partagés doivent être identiques à ceux du collecteur.
    connect_pan. Jpg
  3. Le pare-feu se connectera au collecteur sur le port 5007. Cela ne peut pas être modifié.
  4. Validez les modifications. Les mappages utilisateur à partir du collecteur apparaîtront sur le pare-feu.

 

Vérification

Les commandes CLI suivantes peuvent être utilisées pour vérifier que le service de collecteur est en place et que les informations de mappage utilisateur sont reçues sur les autres pare-feu de Palo Alto Networks.

  1. Sur le collecteur, affichez l'état du service User-ID
    > afficher l'état utilisateur-ID-service
    userid_servce. Jpg
  2. Afficher les clients/pare-feu connectés au collecteur
    > afficher User-ID-service client tous
    client_status. Jpg
  3. Affichage du mappage utilisateur IP sur le collecteur
    > montrer utilisateur ip-utilisateur-cartographie tous les
    mapping_collectr. Jpg
  4. Sur le pare-feu qui reçoit les informations du collecteur, affichez le mappage IP-utilisateur
    > Show IP de l'utilisateur--utilisateur-Mapping All
    mapping_client. Jpg

 

Voir aussi

 

 

propriétaire : sdarapuneni
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpSCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language