※この記事は以下の記事の日本語訳です。

Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect

https://live.paloaltonetworks.com/t5/Management-Articles/Agentless-User-ID-Connection-to-Active-Dire...

問題

エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー  モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。

Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for ＜サーバー名＞

  failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.

以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。

原因

エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。

以下の例が示すように[Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー（この例では172.30.30.15）接続するのに使用されます。

下記の例のとおり、ADサーバー（172.30.30.15）はユーザー cr7の権限を確認しています。

解決策

• オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7にServer Operatorsを付与しています。
  
  
  Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。
  
  
• オプション2： 必要でなければ、サーバーセッションを読み取るためのオプション）を無効にします（[セッションの有効化]のチェックを外す）。
  

訳注：オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。

• Best practices for securing User-ID deployments（原文）
• 安全な User-ID 展開のためのベスト プラクティス（上記文書の日本語訳）

著者: knarra