管理者ユーザ名は、クライアントプロービングでエージェントレスユーザ ID を使用する場合の IP マッピングの実際のユーザ名を上書きします

管理者ユーザ名は、クライアントプロービングでエージェントレスユーザ ID を使用する場合の IP マッピングの実際のユーザ名を上書きします

13297
Created On 09/26/18 13:55 PM - Last Modified 06/15/23 20:20 PM


Resolution


問題

エージェントレスのユーザー ID 機能は、サーバーオペレータとイベントログリーダーの資格情報を使用してクライアントのプロービングを有効にして構成されます。ip マッピングを表示すると、IPs は、実際のユーザー名ではなく、サービス (admin) ユーザー名でマップされます。

注:エージェントレスのユーザー ID は、PAN-OS 5.0 で導入されました。

 

このシナリオのユーザー IP マッピングテーブルの例を次に示します。

10.38.135.32 vsys1 広告ドメイン/管理 1995 1995

10.39.240.252 vsys1 広告 blr-els-nw-ts-1\administrator 1222 1222

172.16.114.58 vsys1 不明不明 0 3

10.38.17.242 vsys1 広告 sw017242\administrator 429 429

10.38.35.31 vsys1 不明不明 2 5

10.38.41.125 vsys1 広告ドメイン/管理 98 98

10.38.41.124 vsys1 広告ドメイン/管理 876 876

10.38.39.79 vsys1 広告ドメイン/管理 2169 2169

10.17.58.44 vsys1 広告 odls-win7\administrator 1708 1708

10.38.172.154 vsys1 広告ドメイン/管理 1332 1332

10.20.139.164 vsys1 広告ドメイン/管理 1803 7

10.38.153.80 vsys1 不明不明 1 4

10.38.97.115 vsys1 広告ドメイン/管理 227 227

10.38.172.159 vsys1 広告ドメイン/管理 1450 1450

10.38.39.243 vsys1 不明不明 0 3

 

上記のドメイン/管理者は、イベントログリーダー、サーバーオペレータ、および分散 COM ユーザー特権を持つユーザー資格情報です。

 

対応するユーザ id ログは、次のように表示されます。

管理者 > 表示ログのユーザ id の方向に等しい後方

ドメイン、受信時間、シリアル番号、タイプ、脅威/コンテンツタイプ、Config バージョン、生成時間、仮想システム、ip、ユーザ、datasourcename、eventid、リピートカウント、タイムアウト、beginport、endport、データソース、datasourcetype、seqno、actionflags

1, 2013/03/19 10:55:23, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:55:23, vsys1, 10.38.97.103, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1861, 0x0

1, 2013/03/19 10:52:54, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:52:54, vsys1, 10.38.45.188, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1860, 0x0

1, 2013/03/19 10:52:44, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:52:44, vsys1, 10.38.97.120, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1859, 0x0

1, 2013/03/19 10:51:34, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:51:34, vsys1, 10.38.41.0, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1858, 0x0

1, 2013/03/19 10:50:22, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:50:22, vsys1, 10.38.61.51, ixia6151\admin, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1857, 0x0

 

原因

クライアントプローブは、AD のイベントログで同じユーザー名を使用して実行されます。管理者ユーザーの調査は、プローブされているすべての IPs に成功し、IP マッピングの実際のユーザー名は admin ユーザー名で上書きされます。

 

解決方法

ユーザ名が上書きされないようにするには、管理ユーザを無視リストに配置します。

 

  1. 設定モードで CLI を入力します。
    > 構成
  2. 管理者ユーザーを無視リストに追加します。
    # セットユーザー id-コレクターは無視-ユーザー [domain\admin 管理]
    標準形式の別の例:
    # set ユーザー id-コレクターは無視-ユーザー [AD2008\test テスト] は、
    1 つの使用で追加するには、角括弧を使用しないでください
    # セットユーザー id コレクター無視-ユーザー AD2008\test
  3. 変更をコミットします。

 

所有者: anatrajan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0aCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language