Cómo configurar WinRM con HTTPS autenticación básica

Cómo configurar WinRM con HTTPS autenticación básica

150886
Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM


Objective


  • Este documento explicará los pasos para configurar el WinRM con HTTPS autenticación básica para la supervisión del servidor en Pan-OS id de usuario integrado (usuario sin agente-ID)

Environment


  • Pan-OS 9.0 y versiones posteriores
  • Pan-OS configuración de ID de usuario integrada (usuario sin agente-ID)
  • Servidor de ventana de Active Directory/Microsoft Exchange Server 2008 y versiones posteriores

Procedure


  • Siga los pasos a continuación para configurar WinRM con HTTPS autenticación básica para la supervisión del servidor
Configuración del lado del servidor de Windows:
Nota: La cuenta que utilice para configurar WinRM en el servidor que desea supervisar debe tener privilegios de administrador.
  1. Configure la cuenta de servicio con privilegios de usuario de administración remota y CIMV2. Consulte el documento
  2. Habilitar WinRM en el servidor de ventanas
    • Para abrir los puertos en el servidor Windows para la conexión WinRM, escriba el comando: winrm quickconfig y, a continuación, escriba y para confirmar los cambios
    • A continuación, confirme que la salida muestra el servicio WinRM iniciado
    • Si WinRM está habilitado, el resultado muestra que el servicio WinRM ya se está ejecutando en este equipo. Y se le pedirá que confirme cualquier cambio de configuración adicional requerido
Salida que muestra el servicio WinRM que ya se está ejecutando en el equipo
  • Compruebe que WinRM se comunica mediante el protocolo correcto escribiendo el siguiente comando: winrm enumerate winrm/config/listener
3. Configure la huella digital del servidor para autenticar el servidor con el comando firewall
  • Compruebe que el certificado del servidor de Windows está instalado en el almacén de certificados del equipo local ( certificados (equipo local) > certificados personales >)
Captura de pantalla que muestra el certificado del servidor
  • Abra el certificado y seleccione General >Detalles > mostrar: <ALL>, seleccione la huella digital y cópiela
captura de pantalla que muestra información de huella digital en el certificado
  • En el símbolo del sistema del servidor de Windows, escriba el siguiente comando: winrm create winrm/config/Listener? Address=*+Transport= @{Hostname=HTTPS "<Hostname>"; CertificateThumbprint="Huella digital del certificado"}
    • Nombre de host es el servidor supervisado y Huella digital del certificado es el valor que copió del certificado
    • Asegúrese de quitar los espacios en la huella digital del certificado para asegurarse de que WinRM puede validar el certificado
4. Especifique el tipo de autenticación y verifique la autenticación correcta entre el servidor y el firewall
  • Habilite la autenticación básica para el cliente.En el símbolo del sistema, escriba el siguiente comando: winrm set winrm/config/client/auth @{Basic="true"}
  • Ejecute el comando: winrm get winrm/config/client/Auth para confirmar que Basic = true
El resultado muestra la autenticación básica habilitada para el cliente
  • Habilite la autenticación básica para el servicio.En el símbolo del sistema, escriba el siguiente comando: winrm set winrm/config/service/auth @{Basic="true"}
  • Ejecute el comando: winrm get winrm/config/service/Auth para confirmar que Basic = true
El resultado muestra la autenticación básica habilitada para el servicio

Firewall Configuración lateral:
5. Habilite la autenticación entre el agente de PAN-OS usuarioID integrado y los servidores de ventana que planea supervisar mediante WinRM
  • En la interfaz web, seleccione Device firewall >User Identification >User Mapping >Palo Alto Network User-ID Agent Setup >Server Monitor Account.
  • En formato dominio\nombre de usuario, escriba el Nombre de usuario de la cuenta de servicio que el agente deID usuario utilizará para supervisar los servidores.( configurado en el paso 1)
  • Introduzca el nombre de dominio DNS de la cuenta del monitor del servidor
  • Escriba la contraseña y Confirmar contraseña para la cuenta de servicio y, a continuación, haga clic en OK
captura de pantalla que muestra la configuración del agente de usuario deID Palo Alto Network
 
6. Configure el User-agentID integrado para utilizar un protocolo de transporte WinRM para supervisar el PAN-OS servidor Windows.
  • Seleccione el tipo de servidor de Microsoft (Microsoft Active Directory o Microsoft Exchange)
  • Seleccione el protocolo de transporte WinRM-HTTPS
  • Introduzca la dirección o FQDN dirección IP de red del servidor
Captura de pantalla que muestra la configuración del monitor del servidor
 
7. Importe el certificado raíz que se utiliza para firmar el certificado de servidor de Windows en el y asócielo con el firewall perfil User-CertificateID
  • Configure el perfil de certificado en Administración de certificados >Administración de certificados >Perfil de certificado. Utilice el certificado raíz (importado en el paso 7) en el campo certificado CA
Captura de pantalla que muestra la configuración del perfil de certificado
  • Seleccione Device >User Identification >Connection Security (Seguridad de conexión ) e haga clic en Edit (Editar).
  • Seleccione el perfil de certificado que desea utilizar para el perfil de certificado de usuario y,ID a continuación, haga clic en OK.
captura de pantalla que muestra la configuración del perfil del certificado User-Id
  • Confirmar la configuración
8. Verifique que el estado de cada servidor configurado para la supervisión del servidor esté en estado conectado en la pestaña Device >User Identification >User Mapping (Identificación de usuario Asignación de usuarios ) de la interfaz web.

Additional Information


Guía de administración

Nota: La información proporcionada para Windows puede cambiar dependiendo de las versiones de Windows. 
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMgiCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language