キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

エージェントレス User-ID の設定方法

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page
dyamada
‎03-28-2016 12:29 AM

※この記事は以下の記事の日本語訳です。

How to Configure Agentless User-ID
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...

 

手順

エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。

 

以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。

  1. 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。
    Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。

    Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。
    1-11-2013 3-00-44 PM.png

  2. WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。
  3. コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。

    1-4-2013 3-47-00 PM.png

  4. WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。

    1-4-2013+3-50-07+Revised.png

  5. PAのDevice > User Identification MenuよりUser Mapping を選択します。
  6. PAのUser-IDエージェントの設定を完了します。
  7. User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。
  8. Server Monitorオプションを有効にし、security log/session を有効にします。
    Client probingはデフォルトで有効です。必要であれば無効にします。

    1-4-2013 3-37-27 PM.png

  9. もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。1-4-2013 3-43-02 PM.png

  10. 接続されたかどうか、WebUIまたはCLIにて確認します。
    > show user server-monitor statistics

    Name                          TYPE    Host            Vsys    Status
    ---------------------------------------------------------------------------
    2k8                            AD      10.30.14.250    vsys1  Connected
    1-4-2013 3-52-10 PM.png

  11. ip-user-mappingが機能していることを動作を確認します。
    > show user ip-user-mapping all

    IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
    --------------- ------ ------- -------------------------------- -------------- ----------
    10.16.0.28      vsys1  AD      nike\palto                      2576          2541
    10.30.14.106    vsys1  AD      nike\panrunner                  2660          2624
    10.30.14.110    vsys1  AD      nike\panrunner                  2675          2638
    Total: 3 users
  12. ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。

    Zone.PNG

 

See Also

User-ID Agent Setup Tips

 

タグ(1)
0 件の賞賛
この記事を評価:
6,174件の閲覧回数
Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
8/8
最終更新:
‎04-24-2020 01:26 AM
更新者:
 
記事履歴を表示
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2020 - Palo Alto Networks