※この記事は以下の記事の日本語訳です。
Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect
問題
エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。
Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for <サーバー名>
failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.
以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。
原因
エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。
以下の例が示すように[Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー(この例では172.30.30.15)接続するのに使用されます。
下記の例のとおり、ADサーバー(172.30.30.15)はユーザー cr7の権限を確認しています。
解決策
- オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7にServer Operatorsを付与しています。
Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。
- オプション2: 必要でなければ、サーバーセッションを読み取るためのオプション)を無効にします([セッションの有効化]のチェックを外す)。
訳注:オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。
著者: knarra
