Cómo configurar WinRM con HTTPS autenticación básica
150886
Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM
Objective
- Este documento explicará los pasos para configurar el WinRM con HTTPS autenticación básica para la supervisión del servidor en Pan-OS id de usuario integrado (usuario sin agente-ID)
Environment
- Pan-OS 9.0 y versiones posteriores
- Pan-OS configuración de ID de usuario integrada (usuario sin agente-ID)
- Servidor de ventana de Active Directory/Microsoft Exchange Server 2008 y versiones posteriores
Procedure
- Siga los pasos a continuación para configurar WinRM con HTTPS autenticación básica para la supervisión del servidor
Nota: La cuenta que utilice para configurar WinRM en el servidor que desea supervisar debe tener privilegios de administrador.
- Configure la cuenta de servicio con privilegios de usuario de administración remota y CIMV2. Consulte el documento
- Habilitar WinRM en el servidor de ventanas
- Para abrir los puertos en el servidor Windows para la conexión WinRM, escriba el comando: winrm quickconfig y, a continuación, escriba y para confirmar los cambios
- A continuación, confirme que la salida muestra el servicio WinRM iniciado
- Si WinRM está habilitado, el resultado muestra que el servicio WinRM ya se está ejecutando en este equipo. Y se le pedirá que confirme cualquier cambio de configuración adicional requerido
- Compruebe que WinRM se comunica mediante el protocolo correcto escribiendo el siguiente comando: winrm enumerate winrm/config/listener
- Compruebe que el certificado del servidor de Windows está instalado en el almacén de certificados del equipo local ( certificados (equipo local) > certificados personales >)
- Abra el certificado y seleccione General >Detalles > mostrar: <ALL>, seleccione la huella digital y cópiela
- En el símbolo del sistema del servidor de Windows, escriba el siguiente comando: winrm create winrm/config/Listener? Address=*+Transport= @{Hostname=HTTPS "<Hostname>"; CertificateThumbprint="Huella digital del certificado"}
- Nombre de host es el servidor supervisado y Huella digital del certificado es el valor que copió del certificado
- Asegúrese de quitar los espacios en la huella digital del certificado para asegurarse de que WinRM puede validar el certificado
4. Especifique el tipo de autenticación y verifique la autenticación correcta entre el servidor y el firewall
- Habilite la autenticación básica para el cliente.En el símbolo del sistema, escriba el siguiente comando: winrm set winrm/config/client/auth @{Basic="true"}
- Ejecute el comando: winrm get winrm/config/client/Auth para confirmar que Basic = true
- Habilite la autenticación básica para el servicio.En el símbolo del sistema, escriba el siguiente comando: winrm set winrm/config/service/auth @{Basic="true"}
- Ejecute el comando: winrm get winrm/config/service/Auth para confirmar que Basic = true
Firewall Configuración lateral:
5. Habilite la autenticación entre el agente de PAN-OS usuarioID integrado y los servidores de ventana que planea supervisar mediante WinRM
- En la interfaz web, seleccione Device firewall >User Identification >User Mapping >Palo Alto Network User-ID Agent Setup >Server Monitor Account.
- En formato dominio\nombre de usuario, escriba el Nombre de usuario de la cuenta de servicio que el agente deID usuario utilizará para supervisar los servidores.( configurado en el paso 1)
- Introduzca el nombre de dominio DNS de la cuenta del monitor del servidor
- Escriba la contraseña y Confirmar contraseña para la cuenta de servicio y, a continuación, haga clic en OK
6. Configure el User-agentID integrado para utilizar un protocolo de transporte WinRM para supervisar el PAN-OS servidor Windows.
- Seleccione el tipo de servidor de Microsoft (Microsoft Active Directory o Microsoft Exchange)
- Seleccione el protocolo de transporte WinRM-HTTPS
- Introduzca la dirección o FQDN dirección IP de red del servidor
7. Importe el certificado raíz que se utiliza para firmar el certificado de servidor de Windows en el y asócielo con el firewall perfil User-CertificateID
- Configure el perfil de certificado en Administración de certificados >Administración de certificados >Perfil de certificado. Utilice el certificado raíz (importado en el paso 7) en el campo certificado CA
- Seleccione Device >User Identification >Connection Security (Seguridad de conexión ) e haga clic en Edit (Editar).
- Seleccione el perfil de certificado que desea utilizar para el perfil de certificado de usuario y,ID a continuación, haga clic en OK.
- Confirmar la configuración
8. Verifique que el estado de cada servidor configurado para la supervisión del servidor esté en estado conectado en la pestaña Device >User Identification >User Mapping (Identificación de usuario Asignación de usuarios ) de la interfaz web.
Additional Information
Guía de administración
Nota: La información proporcionada para Windows puede cambiar dependiendo de las versiones de Windows.