キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

Palo Alto Networks User-ID Agentのインストール方法

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page
oconnellm
‎04-19-2016 10:56 PM

※この記事は以下の記事の日本語訳です。

How to Install the Palo Alto Networks User-ID Agent

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-the-Palo-Alto-Networks-Us...

 

UserID Agentをインストールする前に以下の項目を確認します:

  1. UserIDをインストールするPC:
    1. OSはWindows XP, Windows 7, Windows 8,  Windows Server 2003/2008/2012
    2. ドメインコントローラーとPAの管理ポートへネットワーク通信確認ができている。
    3. ADドメインのメンバーである。
  2. UserID Agentからドメインのクエリに使用するユーザーアカウントを決めます。このユーザーはドメインコントローラーのSecurity Logsをアクセスできる権限がある必要があります。Domain Adminユーザーグループはこの権限がありますが、この権限を追加したユーザーグループを作成することもできます。
  3. どのドメイン(又は該当するドメインコントローラー)をクエリするか決めます。一つのドメインにつき一つのUserID Agentが必要で、最大64000のユーザーを扱うことができます。

UserID Agentのインストールと設定

  1. UserID Agentをインストールするドメイン内のPC を選択します。
  2. https://support.paloaltonetworks.com から最新バージョンのUserID Agentをダウンロードし、インストールします。
  3. デフォルトでUserID Agentのサービスはlocal account を使って実行してるので、ドメインコントローラーのsecurity logsにアクセス権限があるユーザーに変えます。サーバー上でadmin tools > service > pan agent > log on > switch from local user to this accountで ユーザーを設定します。
  4. PAN agentサービスをリスタートします。
  5. サーバー上でStart > Programs > Palo Alto Networks > User Identificationを実行し、Agent GUIの右上にあるConfigureをクリックします。 
  6.  項目を記入します:
    1. Domain name – ドメインのFQDN
    2. Port Number – インストールする端末で、現在使われていないポート番号を選びます。 サーバー上のFirewallでポートをBlockしていないことを確認します。
    3. Domain controllers ip address – ドメインコントローラーのIP Address。 最大でアドレス10個。
    4. Allow list – Trackするユーザーが存在するサブネット。
    5. Ignore list – ターミナルサーバーやTrackしたくないPCのIP Address。
    6. netbios が使用できないネットワークの場合, disable netbios probingを選択します。
  7. OKをクリックします。
  8. GUIの左上にAgentのステータスを確認できます。 ステータスの例:
    1. Connection failed.(通信が失敗しました)
    2. Please start the PAN agent service first.(PAN agent serviceを起動して下さい)
    3. Reading domain name\enterprise admins membership.(ドメイン名\Adminメンバーシップ読み込み中)
    4. No errors.(エラー無し)
  9. UserID Agentがステップ6で設定したポートを使用している確認はCommand Promptで以下のコマンドを使用します:

netstat -an | find "xxxx"

 

Palo Alto Networks FirewallからUserID Agentへの通信の設定

  1. Palo Alto Networks Firewall にログインし、Device > User Identificationへ行きます.
  2. UserID AgentのName(名前), Host (IP address) と Port(ポート番号)を設定します。
  3. ゾーン単位でUserIDを有効にします。Zone propertiesページの左下に Enable user identificationにチェックがあることを確認します。
  4. 設定変更をcommitします。
  5. UserID Agentへの通信の確認はPAのCLIでshow pan-agent statisticsを使います。state connected,と表示されればOKです。
  6. 現在ドメインPCにログインされているユーザーの表示はCLIで: debug dataplane show user allを使います。

テスト確認

設定が正常に動作していることを確認するためには、新しいセキュリティールールを作成し、グループ情報、ユーザー情報が参照できることを確認します。

0 件の賞賛
この記事を評価:
9,429件の閲覧回数
Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
3/3
最終更新:
‎04-27-2020 06:58 PM
更新者:
 
記事履歴を表示
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2020 - Palo Alto Networks