如何在 PAN OS 中配置和验证用户 ID 收集器
64582
Created On 09/26/18 13:48 PM - Last Modified 06/06/23 02:53 AM
Resolution
概述
帕洛阿尔托网络防火墙可以配置为收集器, 并将用户映射信息重新分配给网络上的其他帕洛阿尔托网络防火墙。本文档介绍如何配置重新分发防火墙并验证 CLI 中的配置。
注意:
- 只有由无代理用户 ID (PAN OS 用户映射) 功能收集的用户映射信息才会重新分配给其他防火墙。
- 如果有多个防火墙需要从收集器中提取映射, 则它们都应在 "用户 id 代理" 选项卡中指定收集器名称。
- 收集器不会从终端服务器重新发布映射-这是预期的行为。
步骤
- 导航到设备 > 用户标识
- 在 "用户映射" 选项卡中, 单击 "编辑"图标
- 通过输入收集器名称和预共享密钥, 从 "重新分发" 选项卡配置收集器。此信息由将拉入用户映射信息的防火墙使用。
- 检查设备 >> 用户标识 > 用户映射选项卡上的收集器名称。下面的图像还显示已为活动目录服务器配置了用户映射。
- 确保在管理界面配置文件上启用了用户 ID 服务
- 导航到网络 > 网络配置文件 > 接口 管理
- 打开应用于相应接口的配置文件或添加新配置文件
- 在配置文件中启用用户 ID 服务
注意: 如果您使用的是 Dataplane 接口, 请在 UID 代理选择上配置该接口的服务路由。
9。提交更改。这就完成了收集器的配置。
配置帕洛阿尔托网络防火墙以从收集器中检索 IP 用户映射。
- 导航到设备 >> 用户标识 的用户 ID 代理选项卡
- 单击 "添加"并在字段中输入值. 收集器名称和预共享密钥字段应与收集器上的相同。
- 防火墙将连接到端口5007上的收集器。无法修改此项。
- 提交更改。收集器中的用户映射将显示在防火墙上。
验证
以下 CLI 命令可用于验证收集器服务是否已上, 以及是否在其他帕洛阿尔托网络防火墙上接收到用户映射信息。
- 在收集器上, 显示用户 ID 服务的状态
>> 显示用户用户 id-服务状态
- 显示连接到收集器的客户端/防火墙
>> 显示用户用户 id-服务客户端全部
- 在收集器上显示 IP 用户映射
> 显示用户 ip 用户映射所有
- 在从收集器接收信息的防火墙上, 显示 IP 用户映射
>> 显示用户 ip--用户映射所有
请参见
所有者: sdarapuneni