帕洛阿尔托泛操作系统 Windows AD 集成技术注意事项

144034

Created On 09/27/18 10:43 AM - Last Modified 05/15/24 23:06 PM

Resolution

帕洛阿尔托广告集成

帕洛阿尔托网络防火墙可以与微软的 Windows Active Directory 通过 LDAP 集成。潘操作系统的新版本允许无代理身份验证与 Active Directory 域控制器;然而，必须修改 WMI 设置（Windows 管理规范）在 AD 域控制器上的，您必须是域管理员这样做。

系统必备组件

与 AD 集成帕洛阿尔托网络设备之前，您必须在广告你会用来访问 LDAP 创建一个用户 ID。在最低限度，此帐户必须在广告中内置的服务器操作员组的成员。出于安全原因，符合最佳做法，你应该坚持此帐户的最小访问权限。

在这个演示中, 我们创建了一个用户, paloaltoladap@paynetonline.com paloaltoladap@paynetonline,在 AD 中使用适当的密码, 我们将此帐户添加到服务器操作员组.

定义

Windows 管理工具 (WMI)是基于 Web 的企业管理 (WBEM) 的 Microsoft 实现, 它是一种开发用于在企业环境中访问管理信息的标准技术的行业倡议. WMI 使用通用信息模型 (CIM)行业标准来表示系统、应用程序、网络、设备和其他托管组件. CIM 是开发和维护由分布式管理任务组 (DMTF)。

从远程计算机获取管理数据使得 WMI 非常有用。通过 DCOM 进行远程 WMI 连接。替代方法是使用 Windows 远程管理 (WinRM) 来获取远程 WMI 管理数据使用基于 WS 管理 SOAP 协议。

管理应用程序或脚本可以获取数据，或在各种语言中执行通过 WMI 操作。

公共信息模型版本 2是一个开放标准, 它定义了 IT 环境中的托管元素如何表示为它们之间的一组公共对象和关系. 分布式管理任务组维护 CIM 允许这些托管的元素，独立于其制造商或供应商的一致管理。

一种方法来描述 CIM 是说，它允许多个缔约方交换管理信息的托管元素。但是，这说明瀑布短因为 CIM 不仅代表这些管理内容和管理信息，还提供了手段，积极控制和管理这些元素。通过使用一个通用模型的信息，管理软件可以写一次，然后处理而无需复杂和昂贵的转换操作的通用模型的许多实现或信息的丢失。

帕洛阿尔托网络运营系统基于 Unix 平台，开放的标准，任何人都可以修改，但行业也同意一些标准确保设备可以互相交谈。这就是为什么你需要对 WMI 中无代理集成与 AD 的域控制器上进行小改动。

修改 WMI

你到域控制器的域管理员身份登录后，启动 WMI 通过开始运行菜单中输入 wmimgmt.msc。下面的图形用户界面显示：

用户添加的图像

突出显示WMI 控件 (本地),转到属性, 然后单击 "安全" 选项卡以访问 CIMV2 的根目录:

用户添加的图像

双击 " Root"以展开它并导航到 CIMV2 的根目录. 将其展开以获取安全文件夹, 在其中添加paloaltoladap@paynetonline.com paloaltoladap@paynetonline用户帐户.

用户添加的图像

授予对 paloaltoladap@paynetonline.com paloaltoladap@paynetonline 帐户的启用帐户和远程启用权限 .

用户添加的图像

保存所有更改，和你已经准备好与 AD 配置帕洛阿尔托网络集成。

Palo Alto 网络密码的概述

基于 Web 的 GUI 是用户友好的但有些功能是独有的帕洛阿尔托网络。齿轮箱允许用户访问其他配置选项.

用户添加的图像

在 GUI 底部找到 "添加" 按钮.

用户添加的图像

在提交更改之前, 对配置文件所做的更改将不会生效 . 保存更改并没有犯他们。GUI 在右上角有三个选项:提交、锁定和保存:

用户添加的图像

如果配置文件没有更改, 则提交将变灰-如果有更改, 则该选项为浅蓝色.
锁定可防止对配置文件进行任何更改 .
保存允许更改而不提交.

配置更改不需要重新启动。

主 GUI 分为两个部分, 即顶部的选项卡和左窗格中的每个选项, 以及选项卡中定义的每种方法的配置设置.

用户添加的图像

子允许配置附加选项。

用户添加的图像

要结合 Windows AD，你必须输入 Windows DNS 服务器和 NTP 服务器的 IP 地址。登录到帕洛阿尔托网络设备后, 单击左侧窗格中的 "设备" 选项卡和 "设置". 从 "" 子标签 "菜单中, 单击"服务"选项卡, 然后在拐角处的齿轮箱中, 如下面的示例所示.

用户添加的图像

在"服务" 下, 为主要和辅助 DNS 服务器添加 IP 地址.

用户添加的图像

在ntp 下, 添加 ntp 服务器的 IP 地址.

用户添加的图像

配置 DNS 设置后, 请熟悉左窗格中的以下选项:管理员、用户标识、服务器配置文件> LDAP 和身份验证配置文件.

用户添加的图像

它是按照特定的顺序，用广告来消除错误配置集成一个好主意。我们建议开始与 LDAP 配置。您将展开 "服务器配置文件" 部分并导航到LDAP. 在 GUI 的左下角, 单击 "添加".

用户添加的图像

LDAP-在 GUI 的左下角, 单击 "添加" 按钮添加 LDAP 服务器配置文件.

用户添加的图像

LDAP 服务器配置文件显示，允许您使用 LDAP 服务器配置身份验证。因为你可以有多个 LDAP 服务器配置文件，它是重要的是给每一个逻辑名称。

已经准备好之前配置的下列信息：

LDAP 服务器的名称
LDAP 服务器的 IP 地址
LDAP 端口号
用户帐户和密码，您使用 WMI 配置中
基指针

由于 ldap 和帕洛阿尔托网络的多个实现支持使用 ldap 进行身份验证的 SSL, 因此 ldap 类型的设置设置为 "其他" , 并且检查了 ssl 选项.

你必须命名该 LDAP 服务器配置文件，否则你会无法保存配置。选择一个清晰、逻辑的名字，因为你可能有多个 LDAP 服务器配置文件。此名称也可以遵循命名标准的公司。在排除故障时，清晰易懂的命名方案是非常有帮助。

用户添加的图像

LDAP 服务器配置框划分为列和行。每行都必须使用适当的值填充的单元格。若要填充的单元格，请单击直到它变成黄色和光标开始闪烁。之后你填写的单元格，到下一个选项卡中的信息。

用户添加的图像

对于 LDAP 服务器的类型, 从下拉菜单中选择 "活动目录"。

用户添加的图像

可以手动输入基地或它将填充后你输入绑定 DN 登录 id 和密码。如果你没有 SSL 配置为连接到 LDAP，然后取消选中 SSL 或您不能连接到 LDAP 服务器。

用户添加的图像

单击确定后，提交更改的运行配置。现在，你已准备好建立 WMI 连接与 Windows 域服务器的功能。

单击 左窗格中的 "用户标识" , "用户映射" 选项卡, 然后在 "齿轮箱" 中输入与在域服务器上配置 WMI 设置相同的凭据-在这种情况下, 凭据是 paloaltoldap.

用户添加的图像

指定用户帐户所在的域-in 这个情况下, 它是paynetonline \ paloaltoldap.

用户添加的图像

完成所有步骤, 然后通过单击 "服务器监视" 部分中的 "发现" 添加 Windows 域控制器。域控制器自填充状态为 "已连接". 这是表示你已成功建立与 Windows AD LDAP 连接。 断开连接 (红色) 的状态意味着配置中的错误, 很可能是身份验证问题. 请验证 WMI 配置和帐户凭据。

用户添加的图像