※この記事は以下の記事の日本語訳です。
How to Install the Palo Alto Networks User-ID Agent
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-the-Palo-Alto-Networks-Us...
UserID Agentをインストールする前に以下の項目を確認します:
- UserIDをインストールするPC:
- OSはWindows XP, Windows 7, Windows 8, Windows Server 2003/2008/2012
- ドメインコントローラーとPAの管理ポートへネットワーク通信確認ができている。
- ADドメインのメンバーである。
- UserID Agentからドメインのクエリに使用するユーザーアカウントを決めます。このユーザーはドメインコントローラーのSecurity Logsをアクセスできる権限がある必要があります。Domain Adminユーザーグループはこの権限がありますが、この権限を追加したユーザーグループを作成することもできます。
- どのドメイン(又は該当するドメインコントローラー)をクエリするか決めます。一つのドメインにつき一つのUserID Agentが必要で、最大64000のユーザーを扱うことができます。
UserID Agentのインストールと設定
- UserID Agentをインストールするドメイン内のPC を選択します。
- https://support.paloaltonetworks.com から最新バージョンのUserID Agentをダウンロードし、インストールします。
- デフォルトでUserID Agentのサービスはlocal account を使って実行してるので、ドメインコントローラーのsecurity logsにアクセス権限があるユーザーに変えます。サーバー上でadmin tools > service > pan agent > log on > switch from local user to this accountで ユーザーを設定します。
- PAN agentサービスをリスタートします。
- サーバー上でStart > Programs > Palo Alto Networks > User Identificationを実行し、Agent GUIの右上にあるConfigureをクリックします。
- 項目を記入します:
- Domain name – ドメインのFQDN
- Port Number – インストールする端末で、現在使われていないポート番号を選びます。 サーバー上のFirewallでポートをBlockしていないことを確認します。
- Domain controllers ip address – ドメインコントローラーのIP Address。 最大でアドレス10個。
- Allow list – Trackするユーザーが存在するサブネット。
- Ignore list – ターミナルサーバーやTrackしたくないPCのIP Address。
- netbios が使用できないネットワークの場合, disable netbios probingを選択します。
- OKをクリックします。
- GUIの左上にAgentのステータスを確認できます。 ステータスの例:
- Connection failed.(通信が失敗しました)
- Please start the PAN agent service first.(PAN agent serviceを起動して下さい)
- Reading domain name\enterprise admins membership.(ドメイン名\Adminメンバーシップ読み込み中)
- No errors.(エラー無し)
- UserID Agentがステップ6で設定したポートを使用している確認はCommand Promptで以下のコマンドを使用します:
netstat -an | find "xxxx"
Palo Alto Networks FirewallからUserID Agentへの通信の設定
- Palo Alto Networks Firewall にログインし、Device > User Identificationへ行きます.
- UserID AgentのName(名前), Host (IP address) と Port(ポート番号)を設定します。
- ゾーン単位でUserIDを有効にします。Zone propertiesページの左下に Enable user identificationにチェックがあることを確認します。
- 設定変更をcommitします。
- UserID Agentへの通信の確認はPAのCLIでshow pan-agent statisticsを使います。state connected,と表示されればOKです。
- 現在ドメインPCにログインされているユーザーの表示はCLIで: debug dataplane show user allを使います。
テスト確認
設定が正常に動作していることを確認するためには、新しいセキュリティールールを作成し、グループ情報、ユーザー情報が参照できることを確認します。