エージェントレス User-ID の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure Agentless User-ID
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...

 

手順

エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。

 

以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。

  1. 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。
    Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。

    Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。
    1-11-2013 3-00-44 PM.png

  2. WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。
  3. コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。

    1-4-2013 3-47-00 PM.png

  4. WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。

    1-4-2013+3-50-07+Revised.png

  5. PAのDevice > User Identification MenuよりUser Mapping を選択します。
  6. PAのUser-IDエージェントの設定を完了します。
  7. User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。
  8. Server Monitorオプションを有効にし、security log/session を有効にします。
    Client probingはデフォルトで有効です。必要であれば無効にします。

    1-4-2013 3-37-27 PM.png

  9. もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。1-4-2013 3-43-02 PM.png

  10. 接続されたかどうか、WebUIまたはCLIにて確認します。
    > show user server-monitor statistics

    Name                          TYPE    Host            Vsys    Status
    ---------------------------------------------------------------------------
    2k8                            AD      10.30.14.250    vsys1  Connected
    1-4-2013 3-52-10 PM.png

  11. ip-user-mappingが機能していることを動作を確認します。
    > show user ip-user-mapping all

    IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s)
    --------------- ------ ------- -------------------------------- -------------- ----------
    10.16.0.28      vsys1  AD      nike\palto                      2576          2541
    10.30.14.106    vsys1  AD      nike\panrunner                  2660          2624
    10.30.14.110    vsys1  AD      nike\panrunner                  2675          2638
    Total: 3 users
  12. ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。

    Zone.PNG

 

See Also

User-ID Agent Setup Tips

 

タグ(1)