パン OS でユーザー ID コレクターを構成および確認する方法

概要

パロアルトネットワークファイアウォールは、コレクタとして構成することができますし、ネットワーク上の他のパロアルトネットワークファイアウォールにユーザーマッピング情報を再配布します。このドキュメントでは、再配布ファイアウォールを構成し、CLI から構成を確認する方法について説明します。

注:

• エージェントレスのユーザー ID (PAN-OS ユーザーマッピング) 機能によって収集されたユーザーマッピング情報のみが、他のファイアウォールに再分散します。
• コレクタからマッピングをプルする必要がある複数のファイアウォールがある場合、それらのすべては、[ユーザ id エージェント] タブでコレクタ名を指定する必要があります。
• コレクタは、ターミナルサーバーからのマッピングを再配布しません-これは予想される動作です。

手順

1. [デバイス] > [ユーザー id ] に移動します
2. [ユーザーマッピング] タブで、[編集]アイコン
   
3. コレクタ名と事前共有キーを入力して、[再配布] タブからコレクタを構成します。この情報は、ユーザーマッピング情報をプルするファイアウォールによって使用されます。
   
4. [デバイス] > [ユーザー id] > [ユーザーマッピング] タブでコレクタ名を確認します。次の図は、Active Directory サーバーに対してユーザーマッピングが構成されていることも示しています。
   
5. 管理インターフェイスプロファイルでユーザー ID サービスが有効になっていることを確認する
6. [ネットワーク] > [ネットワークプロファイル] > [インターフェイス管理] に移動します。
7. 適切なインターフェイスに適用されたプロファイルを開くか、新しいプロファイルを追加します。
8. プロファイルでユーザー ID サービスを有効にする

注意: Dataplane インタフェースを使用している場合は、UID エージェントの選択でそのインタフェースのサービスルートをコンフィグレーションします。

        9。変更をコミットします。これにより、コレクタの構成が完了します。

コレクションから IP ユーザーマッピングを取得するように、パロアルトネットワークファイアウォールを構成します。

1. [デバイス ] の [ユーザー id エージェント] タブに移動します。
2. [追加] をクリックし 、フィールドに値を入力します。コレクタ名と事前共有キーフィールドは、コレクタと同じである必要があります。
   
3. ファイアウォールは、ポート5007のコレクタに接続します。これは変更できません。
4. 変更をコミットします。コレクターからのユーザーマッピングがファイアウォールに表示されます。

検証

次の CLI コマンドを使用して、コレクタ・サービスがアップされていること、およびユーザー・マッピング情報が他のパロアルトネットワークのファイアウォールで受信されていることを確認できます。

1. コレクタで、ユーザ ID サービスのステータスを表示します。
   

   > ユーザーユーザーの表示-id-サービスの状態 

   
2. コレクタに接続されているクライアント/ファイアウォールを表示する
   

   > ユーザーユーザーの表示-id-サービスクライアントすべて

   
3. コレクタでの IP ユーザマッピングの表示
   

   > ip ユーザ マッピングがユーザーを表示すべて

   
4. コレクタから情報を受信するファイアウォールで、IP ユーザマッピングを表示します。

   > ユーザー ip の表示--すべてのユーザーマッピング

   

また見なさい

• ユーザー ID のベストプラクティス-パン-OS
• コレクタは、GlobalProtect を通じて学習したユーザー ip マッピングを再配布します。GlobalProtect ユーザーは、IP-ユーザマッピングのユーザ ID エージェントから来ているように見える

所有者: sdarapuneni