Palo Alto Networks User-ID Agentのインストール方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Install the Palo Alto Networks User-ID Agent

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-the-Palo-Alto-Networks-Us...

 

UserID Agentをインストールする前に以下の項目を確認します:

  1. UserIDをインストールするPC:
    1. OSはWindows XP, Windows 7, Windows 8,  Windows Server 2003/2008/2012
    2. ドメインコントローラーとPAの管理ポートへネットワーク通信確認ができている。
    3. ADドメインのメンバーである。
  2. UserID Agentからドメインのクエリに使用するユーザーアカウントを決めます。このユーザーはドメインコントローラーのSecurity Logsをアクセスできる権限がある必要があります。Domain Adminユーザーグループはこの権限がありますが、この権限を追加したユーザーグループを作成することもできます。
  3. どのドメイン(又は該当するドメインコントローラー)をクエリするか決めます。一つのドメインにつき一つのUserID Agentが必要で、最大64000のユーザーを扱うことができます。

UserID Agentのインストールと設定

  1. UserID Agentをインストールするドメイン内のPC を選択します。
  2. https://support.paloaltonetworks.com から最新バージョンのUserID Agentをダウンロードし、インストールします。
  3. デフォルトでUserID Agentのサービスはlocal account を使って実行してるので、ドメインコントローラーのsecurity logsにアクセス権限があるユーザーに変えます。サーバー上でadmin tools > service > pan agent > log on > switch from local user to this accountで ユーザーを設定します。
  4. PAN agentサービスをリスタートします。
  5. サーバー上でStart > Programs > Palo Alto Networks > User Identificationを実行し、Agent GUIの右上にあるConfigureをクリックします。 
  6.  項目を記入します:
    1. Domain name – ドメインのFQDN
    2. Port Number – インストールする端末で、現在使われていないポート番号を選びます。 サーバー上のFirewallでポートをBlockしていないことを確認します。
    3. Domain controllers ip address – ドメインコントローラーのIP Address。 最大でアドレス10個。
    4. Allow list – Trackするユーザーが存在するサブネット。
    5. Ignore list – ターミナルサーバーやTrackしたくないPCのIP Address。
    6. netbios が使用できないネットワークの場合, disable netbios probingを選択します。
  7. OKをクリックします。
  8. GUIの左上にAgentのステータスを確認できます。 ステータスの例:
    1. Connection failed.(通信が失敗しました)
    2. Please start the PAN agent service first.(PAN agent serviceを起動して下さい)
    3. Reading domain name\enterprise admins membership.(ドメイン名\Adminメンバーシップ読み込み中)
    4. No errors.(エラー無し)
  9. UserID Agentがステップ6で設定したポートを使用している確認はCommand Promptで以下のコマンドを使用します:

netstat -an | find "xxxx"

 

Palo Alto Networks FirewallからUserID Agentへの通信の設定

  1. Palo Alto Networks Firewall にログインし、Device > User Identificationへ行きます.
  2. UserID AgentのName(名前), Host (IP address) と Port(ポート番号)を設定します。
  3. ゾーン単位でUserIDを有効にします。Zone propertiesページの左下に Enable user identificationにチェックがあることを確認します。
  4. 設定変更をcommitします。
  5. UserID Agentへの通信の確認はPAのCLIでshow pan-agent statisticsを使います。state connected,と表示されればOKです。
  6. 現在ドメインPCにログインされているユーザーの表示はCLIで: debug dataplane show user allを使います。

テスト確認

設定が正常に動作していることを確認するためには、新しいセキュリティールールを作成し、グループ情報、ユーザー情報が参照できることを確認します。