WinRM を構成する方法HTTPS基本認証あり

WinRM を構成する方法HTTPS基本認証あり

150880

Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM

Objective

このドキュメントでは、WinRM を構成する手順について説明します。HTTPSでのサーバー監視用の基本認証を使用Pan-OS統合ユーザー ID (Agentless User-ID )

Environment

Pan-OS 9.0以降
Pan-OS 統合されたユーザー ID 構成 (エージェントレスユーザー-ID )
Active Directory ウィンドウサーバー/Microsoft Exchange サーバー 2008 以降

Procedure

以下の手順に従って、WinRM を構成してください。HTTPSサーバー監視用の基本認証を使用

ウィンドウサーバー側の構成:
注: 監視するサーバーで WinRM を構成するために使用するアカウントには、管理者権限が必要です。

リモート管理ユーザーと CIMV2 権限でサービスアカウントを構成します。参照する書類
ウィンドウサーバーで WinRM を有効にする
- WinRM 接続用に Windows サーバーのポートを開くには、次のコマンドを入力します。 winrm クイック構成そして入力しますy変更を確認する
- 次に、出力が表示されることを確認しますWinRM サービス開始
- WinRM が有効になっている場合、出力が表示されます。 WinRM サービスはこのマシンで既に実行されています. また、必要な追加の構成変更を確認するように求められます。

次のコマンドを入力して、WinRM が正しいプロトコルを使用して通信していることを確認します。 winrm enumerate winrm/config/listener

3. でサーバーを認証するようにサーバーの拇印を構成します。 firewall

ウィンドウサーバー証明書がローカルコンピューターの証明書ストアにインストールされていることを確認します。 (証明書 (ローカルコンピューター) > 個人 > 証明書)

サーバー証明書を示すスクリーンショット

証明書を開いて選択一般 >詳細 > show: <ALL >をクリックし、拇印を選択してコピーします

証明書の拇印情報を示すスクリーンショット

ウィンドウサーバーのコマンドプロンプトから、次のコマンドを入力します。 winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<ホスト名>";CertificateThumbprint="証明書の拇印"}
- Hostname は監視対象サーバーで、Certificate Thumbprint は証明書からコピーした値です。
- WinRM が証明書を検証できるように、証明書の拇印のスペースをすべて削除してください。

4. 認証タイプを指定し、サーバーとサーバー間の認証が成功したことを確認します。 firewall

クライアントの基本認証を有効にします。コマンドプロンプトから、次のコマンドを入力します。 winrm set winrm/config/client/auth @{Basic="true"}
次のコマンドを実行します。 winrm get winrm/config/client/Auth Basic = true であることを確認する

出力は、クライアントに対して有効になっている基本認証を示しています

サービスの基本認証を有効にします。コマンドプロンプトから、次のコマンドを入力します。 winrm set winrm/config/service/auth @{Basic="true"}
次のコマンドを実行します。 winrm get winrm/config/service/Auth Basic = true であることを確認する

出力は、サービスに対して有効になっている基本認証を示しています

Firewall 側面構成:

5. 間の認証を有効にします。PAN-OS統合されたユーザー -IDエージェントと、WinRM を使用して監視する予定のウィンドウサーバー

からfirewallWeb インターフェイス、選択デバイス >ユーザー識別 >ユーザーマッピング >パロアルトネットワークユーザー-IDエージェントセットアップ > サーバーモニターアカウント。
ドメイン\ユーザー名の形式で、ユーザーが使用するサービスアカウントのユーザー名を入力します。IDエージェントはサーバーの監視に使用します (ステップ 1 で構成)。
ドメインを入力してくださいDNSサーバー監視アカウントの名前
サービスアカウントの [パスワード] と [パスワードの確認] を入力し、 OK

パロアルトネットワークユーザーを示すスクリーンショット-IDエージェントのセットアップ

6.PAN-OS統合されたユーザー -IDエージェントを使用して、WinRM トランスポートプロトコルを使用して Windows サーバーを監視します。

Microsoft サーバーの種類 (Microsoft Active Directory または Microsoft Exchange) を選択します。
トランスポートプロトコル WinRM を選択します。HTTPS
を入力IP住所またはFQDNサーバーのネットワークアドレス

サーバー監視構成を示すスクリーンショット

7. ウィンドウサーバー証明書の署名に使用されるルート証明書をfirewallそれをユーザーに関連付けます-ID証明書プロファイル

で証明書プロファイルを構成します。デバイス >証明書管理 >証明書プロファイル. ルート証明書 (手順 7 でインポート) を使用します。CA証明書フィールド

証明書プロファイル構成を示すスクリーンショット

選択するデバイス > ユーザー ID > 接続セキュリティをクリックし、[編集] をクリックします。
ユーザーに使用する証明書プロファイルを選択します。ID証明書プロファイルをクリックし、OK .

ユーザー ID 証明書のプロファイル構成を示すスクリーンショット

構成をコミットする

8. サーバー監視用に構成された各サーバーのステータスが接続済みであることを確認します。デバイス >ユーザー識別 >ユーザーマッピングタブをクリックします。

Additional Information

管理ガイド

ノート： Windows については、Windows のバージョンによって提供される情報が異なる場合があります。