※この記事は以下の記事の日本語訳です。
How to Configure Agentless User-ID
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...
手順
エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。
以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。
- 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。
Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。
Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。
- WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。
- コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。
- WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。
- PAのDevice > User Identification MenuよりUser Mapping を選択します。
- PAのUser-IDエージェントの設定を完了します。
- User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。
- Server Monitorオプションを有効にし、security log/session を有効にします。
Client probingはデフォルトで有効です。必要であれば無効にします。
- もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。
- 接続されたかどうか、WebUIまたはCLIにて確認します。
> show user server-monitor statistics
Name TYPE Host Vsys Status
---------------------------------------------------------------------------
2k8 AD 10.30.14.250 vsys1 Connected
- ip-user-mappingが機能していることを動作を確認します。
> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
10.16.0.28 vsys1 AD nike\palto 2576 2541
10.30.14.106 vsys1 AD nike\panrunner 2660 2624
10.30.14.110 vsys1 AD nike\panrunner 2675 2638
Total: 3 users - ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。
See Also
Copyright 2007 - 2021 - Palo Alto Networks
