Comment configurer et vérifier le collecteur d'ID utilisateur dans Pan-OS
Resolution
Vue d’ensemble
Le pare-feu de réseaux de Palo Alto peut être configuré en tant que collecteur et redistribuer des informations de mappage d'utilisateur à d'autres pare-feu de réseaux de Palo Alto sur votre réseau. Ce document décrit comment configurer un pare-feu de redistribution et vérifier la configuration à partir de l'interface CLI.
Remarque :
- Seules les informations de mappage utilisateur collectées par la fonctionnalité ID utilisateur sans agent (mappage utilisateur Pan-OS) seront redistribuées aux autres pare-feu.
- Si plusieurs pare-feu doivent extraire des mappages à partir du collecteur, ils doivent tous spécifier le nom du collecteur dans l'onglet User ID agent.
- Le collecteur ne redistribue pas les mappages à partir de Terminal Server-c'est le comportement attendu.
Étapes
- Accédez à Device > identification de l'utilisateur
- Dans l' onglet mappage utilisateur , cliquez sur l' icône modifier
- Configurez le collecteur à partir de l'onglet redistribution en saisissant un nom de collecteur et une clé pré-partagée. Ces informations sont utilisées par les pare-feu qui vont extraire les informations de mappage utilisateur.
- Vérifiez le nom du collecteur sur le périphérique > identification de l'utilisateur > onglet mappage utilisateur . L'image ci-dessous montre également que le mappage utilisateur a été configuré pour un serveur Active Directory.
- Assurez-vous que le service User-ID est activé sur un profil d'interface de gestion
- Accédez au réseau > profils réseau > interface Mgmt
- Ouvrez le profil appliqué à l'interface appropriée ou ajoutez un nouveau profil
- Activer le service ID utilisateur dans le profil
Remarque: Si vous utilisez une interface Dataplane, configurez un itinéraire de service pour cette interface sur la sélection de l'agent uid.
9. Validez les modifications. Cela complète la configuration du collecteur.
Configurez un pare-feu de Palo Alto Networks pour récupérer les mappages utilisateur IP du collecteur.
- Accédez à l'onglet User-ID agents de Device > identification de l'utilisateur
- Cliquez sur ajouter et entrez des valeurs dans les champs. Le nom du collecteur et les champs clés pré-partagés doivent être identiques à ceux du collecteur.
- Le pare-feu se connectera au collecteur sur le port 5007. Cela ne peut pas être modifié.
- Validez les modifications. Les mappages utilisateur à partir du collecteur apparaîtront sur le pare-feu.
Vérification
Les commandes CLI suivantes peuvent être utilisées pour vérifier que le service de collecteur est en place et que les informations de mappage utilisateur sont reçues sur les autres pare-feu de Palo Alto Networks.
- Sur le collecteur, affichez l'état du service User-ID
> afficher l'état utilisateur-ID-service
- Afficher les clients/pare-feu connectés au collecteur
> afficher User-ID-service client tous
- Affichage du mappage utilisateur IP sur le collecteur
> montrer utilisateur ip-utilisateur-cartographie tous les
- Sur le pare-feu qui reçoit les informations du collecteur, affichez le mappage IP-utilisateur
> Show IP de l'utilisateur--utilisateur-Mapping All
Voir aussi
- Meilleures pratiques d'ID utilisateur-Pan-OS
- Le collecteur redistribuera les mappages utilisateur-IP apprises via GlobalProtect. Les utilisateurs de GlobalProtect apparaissent comme venant d'user-ID agent dans le mappage IP-utilisateur
propriétaire : sdarapuneni