如何在 PAN OS 中配置和验证用户 ID 收集器

概述

帕洛阿尔托网络防火墙可以配置为收集器, 并将用户映射信息重新分配给网络上的其他帕洛阿尔托网络防火墙。本文档介绍如何配置重新分发防火墙并验证 CLI 中的配置。

注意：

• 只有由无代理用户 ID (PAN OS 用户映射) 功能收集的用户映射信息才会重新分配给其他防火墙。
• 如果有多个防火墙需要从收集器中提取映射, 则它们都应在 "用户 id 代理" 选项卡中指定收集器名称。
• 收集器不会从终端服务器重新发布映射-这是预期的行为。

步骤

1. 导航到设备 > 用户标识
2. 在 "用户映射" 选项卡中, 单击 "编辑"图标
   
3. 通过输入收集器名称和预共享密钥, 从 "重新分发" 选项卡配置收集器。此信息由将拉入用户映射信息的防火墙使用。
   
4. 检查设备 >> 用户标识 > 用户映射选项卡上的收集器名称。下面的图像还显示已为活动目录服务器配置了用户映射。
   
5. 确保在管理界面配置文件上启用了用户 ID 服务
6. 导航到网络 > 网络配置文件 > 接口 管理
7. 打开应用于相应接口的配置文件或添加新配置文件
8. 在配置文件中启用用户 ID 服务

注意: 如果您使用的是 Dataplane 接口, 请在 UID 代理选择上配置该接口的服务路由。

        9。提交更改。这就完成了收集器的配置。

配置帕洛阿尔托网络防火墙以从收集器中检索 IP 用户映射。

1. 导航到设备 >> 用户标识 的用户 ID 代理选项卡
2. 单击 "添加"并在字段中输入值. 收集器名称和预共享密钥字段应与收集器上的相同。
   
3. 防火墙将连接到端口5007上的收集器。无法修改此项。
4. 提交更改。收集器中的用户映射将显示在防火墙上。

验证

以下 CLI 命令可用于验证收集器服务是否已上, 以及是否在其他帕洛阿尔托网络防火墙上接收到用户映射信息。

1. 在收集器上, 显示用户 ID 服务的状态
   

   >> 显示用户用户 id-服务状态 

   
2. 显示连接到收集器的客户端/防火墙
   

   >> 显示用户用户 id-服务客户端全部

   
3. 在收集器上显示 IP 用户映射
   

   > 显示用户 ip 用户映射所有

   
4. 在从收集器接收信息的防火墙上, 显示 IP 用户映射

   >> 显示用户 ip--用户映射所有

   

请参见

• 用户 ID 最佳做法-泛型操作系统
• 收集器将重新分发通过 GlobalProtect 学到的用户 ip 映射。GlobalProtect 用户在 IP 用户映射中显示为来自用户 ID 代理

所有者： sdarapuneni