Comment faire pour configurer WinRM avec HTTPS l’authentification de base

150898

Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM

Objective

Ce document explique les étapes à suivre pour configurer WinRM HTTPS avec l’authentification de base pour la surveillance du serveur dans Pan-OS l’ID utilisateur intégré (utilisateur sans agent-ID)

Environment

Pan-OS 9.0 et versions ultérieures
Pan-OS configuration intégrée de l’ID utilisateur(utilisateur sans agent)ID
Active Directory window server/Microsoft Exchange Server 2008 et versions ultérieures

Procedure

Veuillez suivre les étapes ci-dessous pour configurer WinRM avec HTTPS l’authentification de base pour la surveillance du serveur

Configuration côté serveur de Windows :
Remarque : Le compte que vous utilisez pour configurer WinRM sur le serveur que vous souhaitez surveiller doit disposer de privilèges d’administrateur.

Configurez le compte de service avec les privilèges d’utilisateur de gestion à distance et CIMV2. Se référer au document
Activer WinRM sur le serveur Windows
- Pour ouvrir les ports sur le serveur Windows pour la connexion WinRM, entrez la commande: winrm quickconfig , puis entrez y pour confirmer les modifications
- Vérifiez ensuite que la sortie affiche le service WinRM démarré
- Si WinRM est activé, la sortie affiche que le service WinRM est déjà en cours d’exécution sur cette machine. Et vous serez invité à confirmer toute modification de configuration supplémentaire requise

Vérifiez que WinRM communique à l’aide du protocole correct en entrant la commande suivante : winrm énumérer winrm/config/listener

3. Configurez l’empreinte numérique du serveur pour authentifier le serveur avec le bouton firewall

Vérifiez que le certificat du serveur Windows est installé dans le magasin de certificats de l’ordinateur local ( certificats (ordinateur local) > certificats > personnels)

Capture d’écran montrant le certificat du serveur

Ouvrez le certificat et sélectionnez Général >Détails > afficher : <ALL>, sélectionnez l’empreinte numérique et copiez-la.

capture d’écran montrant les informations d’empreinte numérique dans le certificat

À partir de l’invite de commandes du serveur Windows, entrez la commande suivante : winrm create winrm/config/Listener? address=*+Transport= @{hostname=HTTPS "<hostname> »; certificateThumbprint="Empreinte numérique du certificat"}
- Le nom d’hôte est le serveur surveillé et l’empreinte numérique du certificat est la valeur que vous avez copiée à partir du certificat
- Assurez-vous de supprimer tous les espaces dans l’empreinte numérique du certificat pour vous assurer que WinRM peut valider le certificat

4. Spécifiez le type d’authentification et vérifiez la réussite de l’authentification entre le serveur et le firewall

Activez l’authentification de base pour le client.À partir de l’invite de commandes, entrez la commande suivante : winrm set winrm/config/client/auth @{Basic="true"}
Exécutez la commande : winrm get winrm/config/client/Auth pour confirmer que Basic = true

La sortie indique l’authentification de base activée pour le client

Activez l’authentification de base pour le service.À partir de l’invite de commande, entrez la commande suivante : winrm set winrm/config/service/auth @{Basic="true"}
Exécutez la commande : winrm get winrm/config/service/Auth pour confirmer que Basic = true

La sortie indique l’authentification de base activée pour le service

Firewall Configuration latérale :

5. Activez l’authentification entre l’agent utilisateurID intégré et les serveurs Windows que vous prévoyez de surveiller à l’aide PAN-OS de WinRM

Dans l’interface firewall Web, sélectionnez Device >User Identification >User Mapping >Palo Alto Network User-ID Agent Setup >Server Monitor Account.
Au format domaine\nom d’utilisateur, entrez le nom d’utilisateur du compte de service que l’agent utilisateurID utilisera pour surveiller les serveurs.( configuré à l’étape 1)
Entrez le nom de DNS domaine du compte de moniteur du serveur
Entrez le mot de passe et confirmez le mot de passe du compte de service, puis cliquez sur OK

capture d’écran montrant la configuration de l’utilisateur etID de l’agent du réseau Palo Alto

6. Configurez l’agent PAN-OS utilisateurID intégré pour utiliser un protocole de transport WinRM pour surveiller le serveur Windows.

Sélectionnez le type de serveur Microsoft (Microsoft Active Directory ou Microsoft Exchange)
Sélectionnez le protocole de transport WinRM-HTTPS
Entrez l’adresse ou FQDN l’adresse IP réseau du serveur

Capture d’écran montrant la configuration du moniteur de serveur

7. Importez le certificat racine utilisé pour signer le certificat Windows Server sur le et associez-le firewall au profil User-ID Certificate

Configurez le profil de certificat sous Device >Certificate Management >Certificate Profile. Utilisez le certificat racine (importé à l’étape 7) dans le champ certificat CA

Capture d’écran montrant la configuration du profil de certificat

Sélectionnez Device >User Identification >Connection Security (Sécurité de connexion ) et cliquez sur Edit (Modifier).
Sélectionnez le profil de certificat à utiliser pour le profil de certificat utilisateur,ID puis cliquez sur OK.

capture d’écran montrant la configuration du profil du certificat User-Id

Valider la configuration

8. Vérifiez que l’état de chaque serveur configuré pour la surveillance du serveur est connecté dans l’onglet Device >User Identification >User Mapping (Identification de l’utilisateur Mappage utilisateur) de l’interface Web.

Additional Information

Guide d’administration

Remarque : Les informations fournies pour Windows peuvent changer en fonction des versions de Windows.

Comment faire pour configurer WinRM avec HTTPS l’authentification de base

Objective

Environment

Procedure

Additional Information

Other users also viewed: