エージェントレス User-IDでActive Directoryサーバーへの接続と切断を繰り返す問題

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect

https://live.paloaltonetworks.com/t5/Management-Articles/Agentless-User-ID-Connection-to-Active-Dire...

 

 

問題

エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー  モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。

Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for サーバー名>

  failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.

 

以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。

server_monitoring.png

 

原因

エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。

 

以下の例が示すように[Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー(この例では172.30.30.15)接続するのに使用されます。

 

下記の例のとおり、ADサーバー(172.30.30.15)はユーザー cr7の権限を確認しています。

 

解決策

  • オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7にServer Operatorsを付与しています。


    Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。

  • オプション2: 必要でなければ、サーバーセッションを読み取るためのオプション)を無効にします([セッションの有効化]のチェックを外す)。
    214754egami.png

 

訳注:オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。

 

 

 

著者: knarra