ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Configure Agentless User-ID https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/62122   手順 エージェントレス User-IDを設定するには、まずサービスアカウントを作成し、作成したアカウントのセキュリティ設定を変更します。   以下のようにActive Directory(AD)サーバとPalo Alto Networks機器を設定します。 機器で使用されるサービスアカウントをAD上で作成します。作成されたユーザが、Distributed COM Users, Server Operators および Event Log Readers groups に所属することを確認してください。 Note: サービスアカウントの機能させるうえで、ドメイン管理者(Domain Admin)の権限は必須要件ではありません。詳細は「Best Practices for Securing User-ID Deployments」を確認してください。 Windows2003の場合、サービスアカウントには"Audit and manage security log"の権限をグループポリシ経由で与える必要があります。ドメイン管理者グループに所属するアカウントを作成することで、すべての操作に必要な権限が付与されます。“Event Log Readers”グループはWindows 2003では利用できません。 WMI 認証を利用する機器やユーザは、接続されるAD上でCIMV2セキュリティ属性を変更する必要があります。 コマンドプロンプト上で'wmimgmt.msc'を実行しコンソールを開き、プロパティを選択します。 WMI コントロールのセキュリティタブを選択し、CIMV2フォルダを選択します。セキュリティをクリックし、step1で作成したサービスアカウントを追加します。この例ではpanrunner@nike.localを設定しています。追加したアカウントで「アカウントの有効化」と「リモート有効化」をチェックしてください。 PAのDevice > User Identification MenuよりUser Mapping を選択します。 PAのUser-IDエージェントの設定を完了します。 User Mapping > WMI Authenticationタブのユーザーネーム設定が domain\username フォーマットになっていることを確認します。 Server Monitorオプションを有効にし、security log/session を有効にします。 Client probingはデフォルトで有効です。必要であれば無効にします。 もしセットアップ中にドメインが設定されている場合、ユーザは接続先のサーバを選択できます。もし設定されていない場合、マニュアルでサーバを設定します。 接続されたかどうか、WebUIまたはCLIにて確認します。 > show user server-monitor statistics Name                          TYPE    Host            Vsys    Status --------------------------------------------------------------------------- 2k8                            AD      10.30.14.250    vsys1  Connected ip-user-mappingが機能していることを動作を確認します。 > show user ip-user-mapping all IP              Vsys  From    User                            IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ---------- 10.16.0.28      vsys1  AD      nike\palto                      2576          2541 10.30.14.106    vsys1  AD      nike\panrunner                  2660          2624 10.30.14.110    vsys1  AD      nike\panrunner                  2675          2638 Total: 3 users ユーザ識別を実施したい通信が発信されるZoneでUser Identificationが有効であることを確認します。Network > Zone でZoneを選択します。   See Also User-ID Agent Setup Tips  
記事全体を表示
dyamada ‎04-03-2016 10:30 PM
5,408件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community