Palo Alto PAN OS Windows AD integración tecnología Nota
Resolution
Integración de anuncios de Palo Alto
El firewall de Palo Alto Networks puede ser integrado con Microsoft Windows Active Directory mediante LDAP. La nueva versión de cacerola-OS permite autenticación sin agentes con el controlador de dominio de Active Directory; sin embargo, se debe modificar la configuración de WMI (instrumental de administración de Windows) en el controlador de dominio de AD y debe ser administrador de dominio para hacerlo.
Requisitos previos
Antes de integrar un dispositivo de Palo Alto Networks con el anuncio, debe crear un ID de usuario en AD que usarás para acceder a LDAP. Como mínimo, esta cuenta debe ser miembro del grupo operadores de servidores integrado en AD. Por razones de seguridad y ser compatibles con las mejores prácticas, debe adherirse a los derechos de acceso mínimo para esta cuenta.
Para esta demostración, creamos un usuario, paloaltoladap@paynetonline.com, en el anuncio con una contraseña apropiada, y agregamos esta cuenta al grupo de operadores de servidor .
Definiciones
Instrumental de administración de Windows (WMI) es la implementación de Microsoft de Enterprise Management (WBEM) basada en Web, que es una iniciativa de la industria para desarrollar una tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI utiliza el estándar de la industria del modelo de información común (CIM) para representar sistemas, aplicaciones, redes, dispositivos y otros componentes administrados. CIM es desarrollado y mantenido por el Distributed Management Task Force (DMTF).
Obtención de datos de administración de equipos remotos hace que WMI útil. Las conexiones WMI remotas se realizan a través de DCOM. Una alternativa es utilizar administración remota de Windows (WinRM), que obtiene datos de gestión WMI remoto usando el protocolo basado en SOAP WS-Management.
Aplicaciones de administración de scripts pueden obtener datos o realizar operaciones a través de WMI en una variedad de idiomas.
La versión 2 del modelo de información común es un estándar abierto que define cómo los elementos administrados en un entorno de TI están representados como un conjunto común de objetos y relaciones entre ellos. El grupo de trabajo de gestión distribuidos mantiene la CIM para permitir la gestión coherente de estos elementos administrados, independientemente de su fabricante o proveedor.
Una forma para describir CIM es decir que permite múltiples partes para el intercambio de información de administración acerca de los elementos gestionados. Sin embargo, este cae Descripción corta porque CIM no sólo representa estos logró elementos y la información de gestión, pero también proporciona medios para controlar y gestionar estos elementos activamente. Mediante el uso de un modelo común de información, software de gestión pueden escribirse una vez y trabajar con muchas implementaciones del modelo común sin operaciones complejas y costosas de la conversión o pérdida de información.
El sistema de operationg de Palo Alto Networks se basa en la plataforma de Unix, un estándar abierto que cualquiera puede modificar, pero la industria también se acordaron algunas normas garantizar los dispositivos pueden hablar entre sí. Por esta razón necesita hacer pequeños cambios a WMI en el controlador de dominio en la integración agentes con AD.
Modificación de WMI
Después de iniciar sesión como un administrador de dominio a controlador de dominio, iniciar WMI introduciendo wmimgmt.msc en el menú de Inicio ejecutar. Las siguientes pantallas GUI:
Resalte el control WMI (local), vaya a las propiedades y haga clic en la ficha Seguridad para acceder a la raíz de cimv2:
Haga doble clic en root para expandirlo y desplácese hasta la raíz de cimv2. Amplíelo para llegar a la carpeta Security, donde agrega la cuenta de usuario paloaltoladap@paynetonline.com.
Conceder permisos de cuenta y habilitación remota a la cuenta paloaltoladap@paynetonline.com.
Guardar todos los cambios, y listo configurar la integración de Palo Alto Networks con el anuncio.
Resumen del WebGUI de Palo Alto Networks
La GUI basada en Web es fácil de usar, pero algunas funciones son exclusivas de Palo Alto Networks. Las cajas de cambios permiten a los usuarios acceder a opciones de configuración adicionales.
Localice el botón Add en la parte inferior de la GUI.
Los cambios en el archivo de configuración no tienen efecto hasta que se cometan los cambios. Guardar los cambios no cometerlos. La GUI tiene tres opciones en la esquina superior derecha: confirmar, bloqueary Guardar:
- el commit está atenuado si no hay cambios en el archivo de configuración:si hay cambios, la opción es azul claro.
- Lock impide cualquier cambio en el archivo de configuración .
- Save permite cambios sin comprometerlos.
Cambios de configuración no requieren reiniciar.
La GUI principal se divide en dos secciones: lasfichas en la parte superior e izquierda con los ajustes de configuración para cada opción definida en las fichas.
Subfichas permiten configurar opciones adicionales.
Para integrar con el Windows AD, debe introducir las direcciones IP de los servidores DNS de Windows y el servidor NTP. Después de iniciar sesión en el dispositivo Palo Alto Networks, haga clic en la ficha dispositivo y configure en el panel izquierdo. En el menú subficha, haga clic en la ficha servicios, luego en la caja de cambios en la esquina, como se muestra en el ejemplo siguiente.
En servicios, agregue direcciones IP para los servidores DNS primario y secundario.
En NTP, añada la dirección IP del servidor NTP.
Después de configurar la configuración de DNS, familiarícese con las siguientes opciones en el panel izquierdo: administradores, identificación de usuarios , perfiles de servidor > LDAP y Perfil de autenticación.
Es una buena idea para seguir una secuencia específica para configurar la integración con AD para eliminar errores. Le recomendamos comenzar con la configuración de LDAP. Ampliará la sección perfiles de servidor y se desplazará a LDAP. En la esquina inferior izquierda de la GUI, haga clic enagregar.
LDAP:en la esquina inferior izquierda de la GUI, haga clic en el botón Agregar para agregar el perfil del servidor LDAP.
Muestra el perfil de servidor de LDAP, lo que le permite configurar autenticación con el servidor LDAP. Porque puede tener más de un perfil de servidor de LDAP, es importante darle a cada uno un nombre lógico.
Tener lista antes de proceder con la configuración de la siguiente información:
- Nombre del servidor LDAP
- Dirección IP del servidor LDAP
- Número de puerto LDAP
- Cuenta de usuario y la contraseña que usaste en la configuración de WMI
- Indicadores base
Dado que existen múltiples implementaciones de LDAP y Palo Alto Networks soporta SSL para autenticarse con el LDAP, la configuración del tipo LDAP se establece en otra y la opción SSL se comprueba.
Debe nombrar el perfil de servidor de LDAP o serás incapaz de guardar la configuración. Seleccione un nombre claro y lógico, ya que pueden tener varios perfiles de servidor de LDAP. Este nombre también puede seguir nombrando estándares de la compañía. Un esquema de nombres de claro y entendible es muy útil al solucionar problemas.
El cuadro de configuración de servidores LDAP se divide en columnas y filas. Cada fila tiene una célula que debe rellenarse con los valores apropiados. Para rellenar la celda, haga clic en hasta que se vuelve amarillo y parpadea el cursor. Después llenar información en la celda, pestaña a la siguiente.
Para el tipo del servidor LDAP, seleccione Active-Directory en el menú desplegable.
La Base puede ser introducida manualmente o rellenará después de introducir Bind DN nombre de usuario y la contraseña. Si no tiene configurado para conectarse al LDAP SSL, a continuación, desactivar el SSL o no serás capaz de conectar con el servidor LDAP.
Después de hacer clic en aceptar, comprometen el cambio a la configuración corriente. Ahora estás listo para establecer conexión de WMI con los servidores de dominio de Windows.
Haga clic en identificación del usuario en el panel izquierdo, en la ficha Asignación de usuario y, a continuación, en la caja de cambios para introducir las mismas credenciales que usó para configurar la configuración de WMI en el servidor de dominio,en este caso, las credenciales son p aloaltoldap.
Especifique el dominio en el que reside la cuenta de usuario: eneste caso, es paynetonline\paloaltoldap.
Complete todos los pasos y, a continuación, añada los controladores de dominio de Windows haciendo clic en Discover en la sección de supervisión del servidor. Los controladores de dominio se rellenan automáticamente con un estado de conectado. Esto es indica que con éxito han establecido conexión con el LDAP de AD de Windows. Un estado de desconectado (rojo) significa un error en la configuración, lo más probable, un problema de autenticación. Comprobar las credenciales de cuenta y configuración de WMI.
El siguiente paso es crear el perfil de autenticación. Podría haber varios perfiles de autenticación; por lo tanto, es importante ponerles nombre lógicamente. Haga clic en Perfil de autenticación en el panel izquierdo y, a continuación, en agregar.
Es importante utilizar un nombre claro y lógico para el Perfil de autenticación, ya que puede tener varios perfiles con los derechos de varios usuarios. En segundo lugar, Palo Alto Networks PAN-OS no permite guardar un perfil de autenticación sin nombre. Cambie el tipo de autenticación de la base de datos local a LDAP haciendo clic en la flecha para expandir el menú desplegable.
Seleccione el Perfil de servidor que acaba de crear en la sección anterior y defina el atributo de inicio de sesión en sAMAccountNAme.
sAMAccountNAme es un escenario importante. Este atributo especifica el nombre de inicio de sesión utilizado para apoyar a clientes y servidores que ejecutan LAN manager y versiones anteriores del sistema operativo, como Windows NT 4.0, Windows 95 y Microsoft Windows 98.
CN: nombre de cuenta SAM
ldapDisplayName: sAMAccountName
attributeId: 1.2.840.113556.1.4.221
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: verdadero
schemaIdGuid: 3e0abfd0-126a-11d0-a060-00aa006c33ed
systemOnly: falso
searchFlags: fPRESERVEONDELETE | fANR | fATTINDEX
rangeLower: 0
rangeUpper: 256
attributeSecurityGuid: 59ba2f42-79a2-11d0-9020-00c04fc2d3cf
isMemberOfPartialAttributeSet: verdadero
systemFlags: FLAG_SCHEMA_BASE_OBJECT |
FLAG_ATTR_REQ_PARTIAL_SET_MEMBER
schemaFlagsEx: FLAG_ATTR_IS_CRITICAL
No puede iniciar sesión con el nombre de usuario de inicio de sesión de Windows si el atributo sAMAccountNAme no está definido.
El último paso es añadir o crear cuentas de inicio de sesión para los administradores de firewall. Las cuentas tienen que coincidir con convenciones de nombres de cuenta utilizados en el directorio activo. Haga clic en el enlace administradores en el panel izquierdo y, a continuación, en Agregar.
El nombre debe coincidir con el ID de usuario en Active Directory. Para el perfil de autenticación, seleccione el perfil que acaba de crear en la sección anterior,en este caso, se trata de administradores de Paynet .
Después de cambiar el perfil de autenticación, no tienes que introducir las contraseñas. De forma predeterminada, todos los administradores de Firewall se establecen como superusuario.
Derechos de administrador de Firewall se pueden establecer en:
- Superusuario
- Superusuario (sólo lectura)
- Administrador de dispositivos
- Administrador de dispositivo (sólo lectura)
Por último, lo que sigue es lo que se ve después de completar la configuración. Observe que la columna de Perfil de autenticación te dice que el perfil está siendo utilizado por cada usuario.