Konfigurieren von WinRM mit HTTPS der Standardauthentifizierung

Konfigurieren von WinRM mit HTTPS der Standardauthentifizierung

150892
Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM


Objective


  • In diesem Dokument werden die Schritte erläutert, wie wir WinRM mit HTTPS Standardauthentifizierung für die Serverüberwachung in Pan-OS integrierter Benutzer-ID (Agentless User-ID) konfigurieren können.

Environment


  • Pan-OS 9.0 und höher
  • Pan-OS integrierte Benutzer-ID-Konfiguration (Agentless User-ID)
  • Active Directory-Fensterserver/Microsoft Exchange Server 2008 und höher

Procedure


  • Führen Sie die folgenden Schritte aus, um WinRM mit HTTPS Standardauthentifizierung für die Serverüberwachung zu konfigurieren.
Serverseitige Konfiguration des Fensters:
Hinweis: Das Konto, das Sie zum Konfigurieren von WinRM auf dem zu überwachenden Server verwenden, muss über Administratorrechte verfügen.
  1. Konfigurieren Sie das Dienstkonto mit Remoteverwaltungsbenutzer- und CIMV2-Berechtigungen. Siehe Dokument
  2. Aktivieren von WinRM auf dem Windows-Server
    • Um die Ports auf dem Windows-Server für die WinRM-Verbindung zu öffnen, geben Sie den folgenden Befehl ein: winrm quickconfig und geben Sie dann y ein, um die Änderungen zu bestätigen.
    • Vergewissern Sie sich anschließend, dass in der Ausgabe WinRM-Dienst gestartet angezeigt wird
    • Wenn WinRM aktiviert ist, zeigt die Ausgabe an, dass der WinRM-Dienst bereits auf diesem Computer ausgeführt wird. Sie werden aufgefordert, alle zusätzlichen erforderlichen Konfigurationsänderungen zu bestätigen.
Ausgabe, die anzeigt, dass der WinRM-Dienst bereits auf dem Computer ausgeführt wird
  • Stellen Sie sicher, dass WinRM über das richtige Protokoll kommuniziert, indem Sie den folgenden Befehl eingeben: winrm enumerate winrm/config/listener
3. Konfigurieren Sie den Serverfingerabdruck so, dass der Server mit dem Symbol firewall
  • Überprüfen Sie, ob das Windows-Serverzertifikat im Zertifikatspeicher "Lokaler Computer" (Zertifikate (Lokaler Computer) > Persönliche >-Zertifikate) installiert ist.
Screenshot des Serverzertifikats
  • Öffnen Sie das Zertifikat, und wählen Sie Allgemein >Details > anzeigen: <ALL>, wählen Sie den Fingerabdruck aus, und kopieren Sie ihn.
Screenshot mit Fingerabdruckinformationen im Zertifikat
  • Geben Sie an der Eingabeaufforderung des Fensterservers den folgenden Befehl ein: winrm create winrm/config/Listener? address=*+Transport= @{Hostname=HTTPS "<Hostname>"; CertificateThumbprint="Zertifikatfingerabdruck"}
    • Hostname ist der überwachte Server und Zertifikatfingerabdruck ist der Wert, den Sie aus dem Zertifikat kopiert haben.
    • Stellen Sie sicher, dass Sie alle Leerzeichen im Fingerabdruck des Zertifikats entfernen, um sicherzustellen, dass WinRM das Zertifikat überprüfen kann.
4. Geben Sie den Authentifizierungstyp an und überprüfen Sie die erfolgreiche Authentifizierung zwischen dem Server und dem firewall
  • Aktivieren Sie die Standardauthentifizierung für den Client.Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: winrm set winrm/config/client/auth @{Basic="true"}
  • Führen Sie den folgenden Befehl aus: winrm get winrm/config/client/auth , um zu bestätigen, dass Basic = true
Ausgabe zeigt die für den Client aktivierte Basisauthentifizierung an
  • Aktivieren Sie die Standardauthentifizierung für den Dienst.Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: winrm set winrm/config/service/auth @{Basic="true"}
  • Führen Sie den folgenden Befehl aus: winrm get winrm/config/service/Auth , um zu bestätigen, dass Basic = true
Ausgabe zeigt die für den Dienst aktivierte Basisauthentifizierung an

Firewall Seitliche Konfiguration:
5. Aktivieren Sie die Authentifizierung zwischen dem integrierten User-AgentID und den Fensterservern, die PAN-OS Sie mit WinRM überwachen möchten
  • Wählen Sie in der firewall Weboberfläche Gerät >Benutzeridentifikation >Benutzerzuordnung >Palo Alto Network User-AgentID Setup >Server Monitor Account.
  • Geben Sie im Format Domäne\Benutzername den Benutzernamen für das Dienstkonto ein, das der BenutzeragentID zum Überwachen der Server verwenden soll.( konfiguriert in Schritt 1)
  • Geben Sie den Domänennamen des Servermonitorkontos DNS ein.
  • Geben Sie das Kennwort und das Kennwort bestätigen für das Dienstkonto ein, und klicken Sie dann auf OK
Screenshot des Palo Alto Network User-AgentID Setups
 
6. Konfigurieren Sie den PAN-OS integrierten User-Agent für die Verwendung eines WinRM-Transportprotokolls zur Überwachung des Windows-ServersID .
  • Wählen Sie den Microsoft-Servertyp (Microsoft Active Directory oder Microsoft Exchange) aus.
  • Wählen Sie das Transportprotokoll WinRM-HTTPS
  • Geben Sie die IP Adresse oder FQDN Netzwerkadresse des Servers ein.
Screenshot der Servermonitorkonfiguration
 
7. Importieren Sie das Root-Zertifikat, das zum Signieren des Windows-Server-Zertifikats verwendet wird, und firewall verknüpfen Sie es mit dem User-Certificate-ProfilID
  • Konfigurieren Sie das Zertifikatprofil unter Gerät >Zertifikatverwaltung >Zertifikatprofil. Verwenden Sie das Stammzertifikat (importiert in Schritt 7) im CA Feld Zertifikat
Screenshot der Zertifikatprofilkonfiguration
  • Wählen Sie Gerät >Benutzeridentifikation >Verbindungssicherheit ) und klicken Sie auf Bearbeiten.
  • Wählen Sie das Zertifikatprofil aus, das für das Benutzerzertifikatprofil verwendet werden soll,ID und klicken Sie dann auf OK.
Screenshot mit der Konfiguration des Benutzer-ID-Zertifikats
  • Commit der Konfiguration
8. Überprüfen Sie, ob der Status jedes für die Serverüberwachung konfigurierten Servers auf der Registerkarte Gerät >Benutzeridentifikation >Benutzerzuordnung in der Weboberfläche im Status "Verbunden" angezeigt wird.

Additional Information


Administratorhandbuch

Hinweis: Die für Windows bereitgestellten Informationen können sich je nach Windows-Version ändern. 
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMgiCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language