Palo Alto PAN-OS Windows AD Integration technischer Hinweis

Palo Alto AD-Integration

Palo Alto Networks Firewall kann mit Microsofts Windows Active Directory über LDAP integriert werden. Die neue Version von PAN-OS ermöglicht agentenlose Authentifizierung mit Active Directory-Domäne-Controller; jedoch WMI-Einstellungen (Windows Management Instrumentation) auf dem Active Directory-Domäne-Controller geändert werden müssen und muss man Domänen-Admin, dies zu tun.

 

Voraussetzungen

Bevor Sie ein Gerät von Palo Alto Networks mit AD zu integrieren, müssen Sie eine Benutzer-ID in AD erstellen, mit dem Sie auf LDAP zugreifen. Dieses Konto muss mindestens ein Mitglied der integrierten Gruppe Server-Operatoren n. Chr. sein. Aus Gründen der Sicherheit und best Practices entsprechen sollten Sie an die minimale Zugriffsrechte für dieses Konto halten.

Für diese Demonstration haben wir einen Benutzer, paloaltoladap@paynetonline.com, in AD mit einem entsprechenden Passwort erstellt, und wir haben dieses Konto in die Server-Operator-Gruppe aufgenommen .

 

 

Definitionen

 

Windows Management Instrumentation (WMI) ist die Microsoft-Implementierung von Web-Based Enterprise Management (WBEM), eine Brancheninitiative zur Entwicklung einer Standardtechnologie für den Zugriff auf Management-Informationen in einer Unternehmensumgebung. WMI verwendet den Industriestandard des Common-Information-Modells (CIM), um Systeme, Anwendungen, Netzwerke, Geräte und andere verwaltete Komponenten zu repräsentieren. CIM entwickelt und betreut von verteilt Management Task Force (DMTF).

 

Erlangung von Verwaltungsdaten von Remotecomputern macht WMI nützlich. Remote-WMI-Verbindungen erfolgen über DCOM. Eine Alternative ist es, Windows-Remoteverwaltung (WinRM), verwenden Sie die remote WMI-Management-Daten mit dem WS-Management-SOAP-basierten Protokoll erhält.

 

Management-Anwendungen oder Skripts können Daten abrufen oder Operationen über WMI in einer Vielzahl von Sprachen.

 

Das gängige Informationsmodell Version 2 ist ein offener Standard, der definiert, wie verwaltete Elemente in einer IT-Umgebung als gemeinsames Set von Objekten und Beziehungen zwischen Ihnen dargestellt werden. Verteilt Management Task Force unterhält die CIM um konsequentes Management dieser verwalteten Elemente, unabhängig von deren Hersteller oder Anbieter zu ermöglichen.

 

Eine Möglichkeit, CIM zu beschreiben ist zu sagen, dass es mehrere Parteien zum Austausch von Managementinformationen über verwaltete Elemente ermöglicht. Dieser Beschreibung fällt da CIM nicht nur diese stellt kurze Elemente und die Management-Informationen verwaltet, jedoch bietet auch Mittel, um aktiv steuern und verwalten Sie diese Elemente. Mithilfe eines gemeinsamen Modells von Informationen Management-Software kann einmal geschrieben werden, dann arbeiten Sie mit vielen Implementierungen des gemeinsamen Modells ohne komplexe und kostenintensive Umrechnungen oder Verlust von Informationen.

 

Palo Alto Networks Steuerprogrammen System basiert auf der UNIX-Plattform, ein offener Standard, die jeder Benutzer ändern kann, aber die Industrie auch vereinbart, einige Standards gewährleisten die Geräte miteinander kommunizieren können. Deshalb müssen Sie kleine Veränderungen zu WMI auf dem Domänencontroller in die agentenlose Integration mit AD.

 

 

Ändern von WMI

Nachdem Sie sich als Domänen-Admin an Domänencontroller anmelden, starten Sie WMI durch Eingabe wmimgmt.msc im Menü Start ausführen. Die folgenden GUI-anzeigen:

 

 

 

Markieren Sie WMI Control (lokal), gehen Sie zu den Eigenschaften und klicken Sie auf die Registerkarte Sicherheit, um die Wurzel von CIMV2 zu erreichen:

 

 

 

Doppelklicken Sie auf root, um es zu erweitern und zur Wurzel von CIMV2 zu navigieren. Erweitern Sie es, um in den Sicherheits Ordner zu gelangen, wo Sie das paloaltoladap@paynetonline.com- Benutzerkonto hinzufügen.

 

 

 

 

Grant ermöglicht Konto -und Remote- Berechtigungen auf dem paloaltoladap@paynetonline.com- Konto.

 

 

Speichern Sie die Änderungen, und Sie sind bereit, die Palo Alto Networks-Integration mit der Anzeige zu konfigurieren.

 

 

Überblick über die Palo Alto Networks WebGUI

 

Die Web-basierte GUI ist benutzerfreundlich, aber einige Funktionen sind nur für Palo Alto Networks. Getriebe ermöglichen den Nutzern den Zugriff auf zusätzliche Konfigurationsmöglichkeiten.

 

 

Finden Sie den Knopf hinzufügen am unteren Rand der GUI.

 

 

Änderungen an der Konfigurationsdatei treten erst in Kraft, wenn Sie die Änderungen übertragen.  Speichern von Änderungen begehen nicht. Die GUI hat drei Optionen in der oberen rechten Ecke: Commit, Lockund Save:

 

 

• Commit wird ausgegraut, wenn es keine Änderungen an der Konfigurationsdatei gibt—Wenn es Änderungen gibt, ist die Option hellblau .
• Lock verhindert Änderungen an der Konfigurationsdatei.
• Speichern erlaubt Änderungen, ohne Sie zu verpflichten.

 

Konfigurationsänderungen müssen nicht neu gestartet werden.

 

Die Haupt-GUI ist in zwei Abschnitte—Tabs auf der Oberseite und das linke Fenster mit Konfigurationseinstellungen für jede Option, die in Tabs definiert ist, aufgeteilt.

 

 

Unterbereiche ermöglichen zusätzliche Konfigurationsoptionen.

 

 

Um mit Windows AD zu integrieren, müssen Sie die IP-Adressen von den Windows-DNS-Servern und den NTP-Server eingeben. Nachdem Sie sich in das Palo Alto Networks-Gerät einloggen, klicken Sie auf die Registerkarte Device und das Setup im linken Fenster. Aus dem untertab-Menü klicken Sie auf die Registerkarte Dienste, dann auf das Getriebe in der Ecke, wie im folgenden Beispiel gezeigt.

 

 

Unter Serviceswerden IP-Adressen für die primären und sekundären DNS-Server hinzugefügt.  

 

 

 

Unter NTP, fügen Sie die IP-Adresse für den NTP-Server hinzu.

 

 

Nachdem Sie DNS-Einstellungen konfiguriert haben, machen Sie sich mit den folgenden Optionen im linken Bereich vertraut: Administratoren, Benutzer Identifikation, Server -profile > LDAP und Authentifizierungs Profil.

 

 

 

Es ist eine gute Idee, eine bestimmte Reihenfolge konfigurieren Integration mit AD um Fehler zu beseitigen. Es wird empfohlen, beginnend mit LDAP-Konfiguration. Sie werden den Abschnitt Server profile erweitern und zu LDAP navigieren.  In der linken unteren Ecke der GUI klicken Sie aufhinzufügen .  

 

 

LDAP—in der linken unteren Ecke der GUI, klicken Sie aufdie Schaltfläche hinzufügen, um LDAP-Server-Profil hinzuzufügen.  

 

 

Der LDAP-Server-Profil angezeigt wird, so dass Sie Authentifizierung mit dem LDAP-Server konfigurieren. Da Sie mehrere LDAP-Server-Profil haben können, ist es wichtig, die jeweils einen logischen Namen geben.

 

Halten Sie folgende Informationen bereit, bevor Sie mit der Konfiguration fortfahren:

• LDAP-Server-Namen
• LDAP-Server IP-Adresse
• LDAP-Port-Nummer
• Benutzerkonto und das Kennwort, das Sie im WMI-Konfiguration verwendet
• Basis-Zeiger

Da es mehrere Implementierungen von LDAP gibt und Palo Alto Networks SSL unterstützt, um sich mit dem LDAP zu authentifizieren, wird die Einstellung für den LDAP-Typ auf andere gesetzt und die SSL-Option aktiviert.

 

Sie müssen den LDAP-Server-Profil einen Namen, oder Sie werden nicht in der Lage, die Konfiguration zu speichern. Wählen Sie einen klaren und logischen Namen, da Sie mehrere LDAP-Server-Profile haben können. Diese Namen kann auch Unternehmen Benennungsstandards folgen. Eine klare und verständliche Namensschema ist äußerst hilfreich bei der Fehlersuche.

 

 

Die LDAP-Server-Konfiguration-Box gliedert sich in Spalten und Zeilen. Jede Zeile hat eine Zelle, die mit den entsprechenden Werten gefüllt werden muss. Klicken Sie um die Zelle zu füllen, bis es gelb und der Cursor blinkt. Danach füllen Sie die Informationen in der Zelle, auf die nächste Registerkarte. 

 

 

Wählen Sie für den Typ des LDAP-Servers das Active-Verzeichnis aus dem Drop-Down-Menü.

 

 

Die Basis kann manuell eingegeben werden oder es werden aufgefüllt, nachdem Sie Bind-DN Anmelde-Id und das Passwort eingeben.  Wenn Sie nicht über SSL für LDAP konfiguriert, dann deaktivieren Sie SSL oder Sie nicht in der Lage werden, mit dem LDAP-Server herstellen.

 

 

Nachdem Sie auf "OK" klicken, verpflichten Sie die Änderung, die laufenden Config. Jetzt sind Sie bereit, WMI-Verbindung mit der Windows-Domain-Server einzurichten.

 

Klicken Sie auf Benutzer Identifikation in der linken Leiste, Benutzer-Mapping- Tab, dann das Getriebe, um die gleichen Berechtigungen, die Sie verwendet, um WMI-Einstellungen auf dem Domain-Server zu konfigurieren—in diesem Fall sind die Berechtigungen p aloaltoldap.   

 

 

Geben Sie die Domain an, in der sich das Benutzerkonto befindet— in diesem Fall ist es paynetonline\paloaltoldap.

 

 

Vervollständigen Sie alle Schritte, dann fügen Sie Ihre Windows-Domain-Controller hinzu, indem Sie auf Discover in der Server-Monitoring-Sektion klicken Die Domain-Controller selbst bevölkern sich mit einem Status von Connected. Dies bedeutet, dass Sie Verbindung mit dem Windows AD LDAP erfolgreich etabliert haben.  Ein Status von abgetrennten (rot) bedeutet einen Fehler in der Konfiguration, höchstwahrscheinlich eine Authentifizierungs Frage.  Überprüfen Sie WMI-Konfiguration und Konto Anmeldeinformationen. 

 

 

Der nächste Schritt ist die Authentifizierung-Profil erstellen. Es können mehrere Authentifizierungsprofile; Daher ist es wichtig, sie logisch zu nennen. Klicken Sie auf das Authentifizierungs Profil im linken Fenster und klicken Sie dann auf Hinzufügen.

 

 

Es ist wichtig, einen klaren und logischen Namen für das Authentifizierungs Profil zu verwenden, da Sie mehrere Profile mit den rechten der Benutzer haben können. Palo Alto Networks PAN-OS ermöglichen nicht Zweitens eine Authentifizierungsprofil ohne Namen speichern. Schalten Sie den Authentifizierungs Typ von der lokalen Datenbank auf LDAP, indem Sie den Pfeil anklicken, um das Drop-Down-Menü zu erweitern.

 

 

 

Wählen Sie das Server Profil aus, das Sie gerade im vorigen Abschnitt erstellt haben, und setzen Sie das Login-Attribut auf sAMAccountName.

 

 

 

sAMAccountName ist eine wichtige Einstellung. Dieses Attribut gibt den Login-Namen verwendet, um Clients und Server mit LAN Manager und ältere Versionen des Betriebssystems, wie Windows NT 4.0, Windows 95 und Microsoft Windows 98 unterstützt.

 

CN: SAM-Kontoname

LdapDisplayName: "samAccountName"

AttributeId: 1.2.840.113556.1.4.221

AttributeSyntax: 2.5.5.12

OmSyntax: 64

IsSingleValued: TRUE

SchemaIdGuid: 3e0abfd0-126a-11d0-a060-00aa006c33ed

SystemOnly: FALSE

SearchFlags: fPRESERVEONDELETE | fANR | fATTINDEX

RangeLower: 0

RangeUpper: 256

AttributeSecurityGuid: 59ba2f42-79a2-11d0-9020-00c04fc2d3cf

IsMemberOfPartialAttributeSet: TRUE

SystemFlags: FLAG_SCHEMA_BASE_OBJECT |

 FLAG_ATTR_REQ_PARTIAL_SET_MEMBER

SchemaFlagsEx: FLAG_ATTR_IS_CRITICAL

 

Sie können sich nicht mit Ihrem Windows-Login-Benutzernamen einloggen, wenn das Attribut sAMAccountName nicht definiert ist.

 

Der letzte Schritt ist, hinzuzufügen oder Anmeldekonten für die Firewall-Administratoren erstellen. Die Konten müssen Konto Namenskonventionen in Active Directory übereinstimmen. Klicken Sie im linken Fenster auf den Administrator- Link und klicken Sie dann auf hinzufügen.

 

 

Der Name muss die Benutzerkennung in Active Directory übereinstimmen. Für das Authentifizierungs Profil wählen Sie das Profil, das Sie gerade im vorigen Abschnitt— erstellthaben. in diesem Fall handelt es sich um PayNet- Administratoren.

 

 

Nachdem Sie die Authentifizierungsprofil wechseln, müssen Sie keinen keine Kennwörter eingeben. Standardmäßig sind alle Firewall-Administratoren auf Superuser eingestellt.

 

 

Firewall-Admin-Rechte können eingestellt werden:

• Superuser
• Superuser (schreibgeschützt)
• Geräteadministratoren
• Geräteadministratoren (schreibgeschützt)

 

Schließlich, im folgenden finden Sie was Sie sehen, nachdem die Konfiguration abgeschlossen ist. Beachten Sie, dass die Authentifizierungsprofil Spalte sagt Ihnen, welches Profil von jedem Benutzer verwendet wird.