パロ ・ アルト パン OS Windows AD 統合技術のノート

パロ ・ アルトの広告の統合

パロ ・ アルトのネットワーク ファイアウォールは、Microsoft Windows Active Directory LDAP 経由で統合できます。パン OS の新しいバージョンにより、Active Directory ドメイン コント ローラーとエージェントレスの認証ただし、AD ドメイン コント ローラーの WMI 設定 (Windows 管理インストルメンテーション) を変更する必要があります、ドメイン管理者をする必要があります。

 

前提条件

パロ ・ アルトのネットワーク デバイスを AD に統合する前に LDAP のアクセスに使用する広告でユーザー ID を作成する必要があります。最低限、このアカウントは広告で組み込みのサーバー オペレーター グループのメンバーをある必要があります。セキュリティ上の理由のため、ベスト プラクティスに準拠することは、このアカウントの最小限のアクセス権に従う必要があります。

このデモでは、適切なパスワードを使用して AD にユーザー paloaltoladap@paynetonline.com を作成し、このアカウントをサーバーオペレーターグループ に追加しました。

 

 

定義

 

Windows 管理インストルメンテーション (WMI)は、企業環境の管理情報にアクセスするための標準的なテクノロジを開発する業界のイニシアチブである、Web ベースのエンタープライズ管理 (WBEM) のマイクロソフトの実装です。WMI は、システム、アプリケーション、ネットワーク、デバイス、およびその他の管理コンポーネントを表すために、共通情報モデル (CIM) 業界標準を使用します。CIM は、分散管理タスク フォース (DMTF) によって維持されます。

 

リモート コンピューターから管理データを取得すると、WMI が便利になります。WMI のリモート接続は、DCOM を介して行われます。代替は、Ws-management の SOAP ベースのプロトコルを使用してリモートの WMI 管理データを取得する Windows リモート管理 (WinRM) を使用することです。

 

管理アプリケーションまたはスクリプトは、データを取得または WMI を通じて操作をさまざまな言語で実行できます。

 

共通情報モデル version 2は、IT 環境内のマネージ要素が、共通のオブジェクトのセットとそれらの間の関係としてどのように表されるかを定義するオープンスタンダードです。分散管理タスクフォースは、メーカーやプロバイダーに依存しない、これらの管理要素の一貫した管理を許可する CIM を維持します。

 

CIM を記述する 1 つの方法は、複数の関係者が管理要素についての管理情報を交換できると言うことです。しかし、この説明に落ちるため、CIM はこれらを表すだけでなく、短絡の要素と管理情報を管理、また積極的に制御し、これらの要素を管理するための手段を提供します。情報の一般的なモデルを使用すると、管理ソフトウェア、一度書き込まれることができ、複雑で高価な変換操作を行わない一般的なモデルの多くの実装または情報の損失。

 

パロ ・ アルト ネットワーク営業システムは Unix プラットフォームでは、誰もが変更できますが、業界もすることで合意、オープン標準に基づいていくつかの標準デバイスが互いに話すことができることを確認します。だからこそ、広告とエージェントレスの統合のドメイン コント ローラー上の WMI に小さな変更を加える必要があります。

 

 

WMI の変更

ドメイン コント ローラーにドメイン管理者としてログインした後は、実行を開始] メニュー wmimgmt.msc を入力して WMI を開始します。次の GUI が表示されます。

 

 

 

WMI コントロール (ローカル) を強調表示し、プロパティに移動し、[セキュリティ] タブをクリックして CIMV2 のルートにアクセスします。

 

 

 

[ルート] をダブルクリックして展開し、CIMV2 のルートに移動します。これを展開すると、paloaltoladap@paynetonline.com ユーザーアカウントを追加する [セキュリティ] フォルダに行くことができます。

 

 

 

 

paloaltoladap@paynetonline.com アカウントに対する [アカウントとリモートの有効化] アクセス許可 を付与します。

 

 

すべての変更を保存し、広告のパロ ・ アルトのネットワーク統合を構成する準備が整いました。

 

 

パロ アルト ネットワーク WebGUI の概要

 

Web ベースの GUI は、ユーザー ・ フレンドリー、いくつかの関数はパロ ・ アルトのネットワークに固有。 ギアボックスを使用すると、ユーザーは追加の構成オプションにアクセスできます。

 

 

GUI の下部にある [追加] ボタンを見つけます。

 

 

構成ファイルへの変更 は、変更を コミットするまで有効になりません。 変更を保存しても、彼らはコミットしません。GUI には、右上隅の3つのオプション (コミット、ロック、保存) があります。

 

 

• 設定ファイルに変更がない場合は、コミットは淡色表示になります (変更がある場合、オプションは水色になります)。
• Lock は、config ファイルに対する変更を防ぎます。
• Save はコミットせずに変更を許可します。

 

設定の変更では、再起動は必要ありません。

 

メインの GUI は、タブで定義されている各オプションの構成設定で、上部のタブと左ペインの 2 つのセクションに分かれています。

 

 

サブタブの追加オプションの構成を許可します。

 

 

Windows AD に統合するには、Windows DNS サーバーと NTP サーバーの IP アドレスを入力してください。パロアルトネットワークデバイスにログインしたら、左側のウィンドウで [デバイス] タブと [セットアップ] をクリックします。 次の例に示すよう に、[サブタブ] メニューの [サービス] タブをクリックし、コーナーの歯車ボックスを選択します。

 

 

[サービス] で、プライマリおよびセカンダリ DNS サーバーの IP アドレスを追加します。 

 

 

 

ntpで、ntp サーバーの IP アドレスを追加します。

 

 

DNS 設定を構成したら、左側のウィンドウの [管理者]、[ユーザー id]、[サーバープロファイル]、 [LDAP]、および [認証プロファイル ] の各オプションについて理解します。

 

 

 

エラーを除去するために広告の統合を構成する特定の順序に従うことをお勧めします。LDAP の構成で始まるをお勧めします。[サーバープロファイル] セクションを展開し、[ LDAP] に移動 します。 GUI の左下隅にある [追加] をクリックします。  

 

 

ldap-GUI の左下隅にある [追加] ボタンをクリックして、ldap サーバプロファイルを追加します。 

 

 

LDAP サーバー プロファイルが表示され、LDAP サーバーで認証を構成することができます。1 つ以上の LDAP サーバー プロファイルを持つことができますので各 1 つの論理名を与えることが重要です。

 

構成を続行する前に次の情報があります。

• LDAP サーバーの名前
• LDAP サーバーの IP アドレス
• LDAP ポート番号
• ユーザー アカウントと WMI の構成で使用したパスワード
• 基本ポインター

ldap の複数の実装があるため、ldap で認証するために ssl をサポートするパロアルトネットワークは、ldap タイプの設定が [その他] に設定され、 ssl オプションがオンになっています。

 

LDAP サーバー プロファイルの名前を指定する必要があります。または構成を保存できないことがあります。複数の LDAP サーバのプロファイルを持っているかもしれないのではっきりと論理名を選択します。この名前はまた会社の名前付け標準を従うことができます。明確でわかりやすい名前付けスキームは、トラブルシューティングを行うとき非常に便利です。

 

 

LDAP サーバー構成] ボックスは、列と行に分かれています。各ローは、適切な値が設定されているセルを持ちます。黄色とカーソルに変わるまでをクリックしてセルを設定するには、点滅を開始します。後、セルに、次のいずれかのタブに情報を記入できます。 

 

 

LDAP サーバのタイプについては、ドロップダウンメニューから「active-ディレクトリ」を選択します。

 

 

基本は手動で入力することができます。またはバインド DN ログイン id とパスワードを入力した後が表示されます。  いない場合、SSL LDAP に接続し、SSL をオフにするように構成または LDAP サーバーに接続することはできません。

 

 

[Ok] をクリックすると、実行中の構成に変更をコミットします。Windows ドメイン サーバーで WMI 接続を確立する準備が整いました。

 

左側のウィンドウで [ユーザー id]、[ ユーザーマッピング] タブ、[ギアボックス] をクリックして、 ドメインサーバーで WMI 設定を構成するために使用したのと同じ資格情報を入力します(この場合、資格情報は paloaltoldap   

 

 

ユーザーアカウントが存在するドメインを指定する-in この場合、paynetonline\paloaltoldap です。

 

 

すべての手順を完了し、[ サーバーの監視] セクションの[検出] をクリックして Windows ドメインコントローラを追加します。ドメインコントローラは、[接続済み] の状態で自己移入します。これは、Windows AD の LDAP 接続を正常に確立されたことを示します。 切断状態 (赤色) は、認証の問題である可能性が高い構成の誤りを意味します。 WMI の構成およびアカウントの資格情報を確認します。 

 

 

次の手順は、認証プロファイルを作成することです。いくつかの認証プロファイルにある可能性があります。したがって、論理的にそれらの名前を指定することが重要です。左側のウィンドウで [認証プロファイル] をクリックし、[ 追加] をクリックします。

 

 

さまざまなユーザーの権限を持つ複数のプロファイルがある可能性があるため、認証プロファイルには明確で論理的な名前を使用することが重要です。第二に、パロ ・ アルト ネットワーク パン-OS 名のない認証プロファイルの保存は許可されません。矢印をクリックしてドロップダウンメニューを展開し、認証の種類をローカルデータベースから LDAP に切り替えます。

 

 

 

前のセクションで先ほど作成したサーバープロファイルを選択し、 Login 属性を sAMAccountNAme に設定します。

 

 

 

sAMAccountNAmeは重要な設定です。この属性は、クライアントと LAN manager と Windows NT 4.0、Windows 95、Microsoft Windows 98 などのオペレーティング システムの以前のバージョンを実行しているサーバーをサポートするために使用するログイン名を指定します。

 

cn: SAM アカウント名

ldapDisplayName: sAMAccountName

attributeId: 1.2.840.113556.1.4.221

attributeSyntax: 2.5.5.12

omSyntax: 64

isSingleValued: 真

schemaIdGuid: 3e0abfd0-126a-11d0-a060-00aa006c33ed

systemOnly: 偽

searchFlags: fPRESERVEONDELETE |fANR |fATTINDEX

rangeLower: 0

rangeUpper: 256

attributeSecurityGuid: 59ba2f42-79a2-11d0-9020-00c04fc2d3cf

isMemberOfPartialAttributeSet: 真

systemFlags: FLAG_SCHEMA_BASE_OBJECT |

 FLAG_ATTR_REQ_PARTIAL_SET_MEMBER

schemaFlagsEx: FLAG_ATTR_IS_CRITICAL

 

sAMAccountNAme属性が未定義の場合、Windows ログインユーザー名を使用してログインすることはできません。

 

最後のステップは、追加またはファイアウォールの管理者のログイン アカウントを作成することです。アカウントが Active Directory で使用されるアカウントの名前付け規則に合わせてあります。左側のペインで [管理者] リンクをクリックし、[追加] をクリックします。

 

 

名前は、Active Directory 内のユーザー ID を一致する必要があります。認証プロファイルについては、前のセクションで作成したプロファイル(この場合は Paynet 管理者) を選択し ます。

 

 

認証プロファイルを切り替えた後、任意のパスワードを入力する必要はありません。既定では、すべてのファイアウォール管理者はスーパーユーザーに設定されています。

 

 

ファイアウォール管理者権限設定できます。

• スーパーユーザ
• スーパー ユーザー (読み取り専用)
• デバイス管理者
• デバイス管理者 (読み取り専用)

 

最後に、次にあなたが参照してください、構成が完了した後。認証プロファイル コラムでは、各ユーザーがどのプロファイルが使用されたことがわかります。