ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Useful CLI Commands for Troubleshooting User-ID Agent https://live.paloaltonetworks.com/t5/Management-Articles/Useful-CLI-Commands-for-Troubleshooting-User-ID-Agent/ta-p/58239 この記事はWindows サーバ上で実行しているUser-ID エージェントに関連するCLI コマンド (PAN-OS 8.0)についてユーザーと管理者に知っていただくことを目的としています。   エージェントの状況確認 エージェントの接続状況と動作状況の確認:   admin@anuragFW> show user user-id-agent statistics Name Host Port Vsys State Ver Usage --------------------------------------------------------------------------- LAB_UIA 10.21.56.14 5007 vsys1 conn:idle 5 Usage: 'P': LDAP Proxy, 'N': NTLM AUTH, 'C': Credential Enforcement State "conn：idle" は接続済みの状態を示します。User-ID エージェントがuser-ipのマッピングのみを提供していて、LDAP プロキシやNTLM認証、認証ポリシーの実施等の他のサービスを利用していない場合、Usage は空白になります。   接続状況の詳細確認 User-ID エージェントとファイアウォールの接続状況の詳細を表示する:   admin@anuragFW> show user user-id-agent state "LAB_UIA" LAB_UIA all Show all user-id agents <value> <name> agent name admin@anuragFW> show user user-id-agent state all Agent: LAB_UIA(vsys: vsys1) Host: 10.21.56.14(10.21.56.14):5007 Status : conn:idle Version : 0x5 num of connection tried : 141 num of connection succeeded : 3 num of connection failed : 138 num of status msgs rcvd : 2972 num of request of status msgs sent : 2972 num of request of ip mapping msgs sent : 0 num of request of new ip mapping msgs sent : 0 num of request of all ip mapping msgs sent : 3 num of user ip mapping msgs rcvd : 1085 num of ip msgs rcvd but failed to proc : 0 num of user ip mapping add entries rcvd : 1693 num of user ip mapping del entries rcvd : 28 num of request of group msgs sent : 0 num of group msgs rcvd : 0 num of group msgs recvd buf fail to proc : 0 num of xml data msgs rcvd : 0 num of xml data msgs rcvd but failed to proc : 0 num of sync digest messages sent : 0 num of sync digest messages received : 0 num of sync group messages sent : 0 num of sync group messages received : 0 num of sync users messages sent : 0 num of sync users messages received : 0 num of bloomfilter requests sent : 0 num of bloomfilter response received : 0 num of bloomfilter response failed to proc : 0 num of bloomfilter resize requests sent : 0 Last heard(seconds ago) : 2 Messages State: Job ID : 0 Sent messages : 2978 Rcvd messages : 4061 Rcvd rate(msgs/s) : 0 Rcvd peak rate(msgs/s) : 1 Lost messages : 0 Failed to send messages : 0 Failed to enqueue messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : Disabled   ファイアウォールのエージェント設定を表示する ファイアウォールのエージェント設定を表示する: admin@anuragFW> show user user-id-agent config name "LAB_UIA" LAB_UIA <value> user-id-agent name admin@anuragFW> show user user-id-agent config name "LAB_UIA" OS: Microsoft Windows Server 2008 R2 Datacenter Edition (build 7600), 64-bit Product Version: 8.0.3 Protocol Version: 5 Agent Config: <?xml version="1.0" encoding="UTF-8"?> <user-id-agent-config> <general-settings> <authentication username="administrator@opxlab.pan" dnsdomain="opxlab.pan" netbiosdomain="opxlab" password=""/> <server-monitor security-log-enabled="1" security-log-interval="1" session-enabled="0" session-interval="10" edir-interval="30"/> <probing wmi-enabled="1" netbios-enabled="1" interval="20" init-retry-delay="3"/> <timeout enabled="1" entry-timeout="45"/> <listening-port>5007</listening-port> <xml-api enabled="0" xml-api-port="5006"/> <syslog-listening enabled="0" syslog-port="514"/> <ip-cache enabled="1"/> <edirectory base-dn="" bind-dn="" search-filter="(objectClass=Person)" domain-prefix="" login-name-attribute="uniqueID" login-address-attribute="networkAddress" login-time-attribute="loginT ime" use-ssl="1" verify-certificate="0"/> <credentials_path enabled="0" path=""/> <credentials_rodc enabled="0" interval="" auto-discover-replication-policy="0" cacheable-dn=""/> </general-settings> <acl-settings> </acl-settings> <syslog-profiles> </syslog-profiles> <server-settings> <server-entry name="win_svr62.opxlab.pan" type="active-directory" address="10.21.56.14" port="" syslog-profile="" default-domain=""> </server-entry> </server-settings> <include-exclude-settings> </include-exclude-settings> <custom-securitylog-formats> </custom-securitylog-formats> <vmmonitor-settings> </vmmonitor-settings> </user-id-agent-config> Ignore Users:   ロギング レベルの設定と表示 エージェントのロギング レベルの設定と表示には2つの方法があります。デフォルトは"Info" レベルです。 エージェント自身での設定 Use the scroll bar to view the latest logs ファイアウォールのCLIでの設定 admin@anuragFW> debug user-id agent "LAB_UIA" LAB_UIA <value> specify one agent admin@anuragFW> debug user-id agent "LAB_UIA" on debug Output error, warning, info and debug logs error Only output error logs info Only output error, warning and info logs verbose Output error, warning, info, debug and verbose logs warn Only output error and warning logs admin@anuragFW> debug user-id agent "LAB_UIA" on debug Send debug message to agent LAB_UIA admin@anuragFW> debug user-id agent "LAB_UIA" receive yes Send debug message to agent LAB_UIA   ログの表示と削除 ログを表示する際は、要件に応じて次のコマンドを使用します: less agent-log <value> tail follow <yes|no> lines <1-65535> agent-log <value> 例 -  admin@anuragFW> less agent-log 1.LAB_UIA.log 08/01/17 07:28:30:045[Debug 3534]: Device thread 1 handle msg get:user_ip. bodylen 100 xml 1 08/01/17 07:28:30:045[Debug 691]: IP 192.168.140.125 is added for initial probing. jobid 2278 08/01/17 07:28:30:045[Debug 808]: Device thread 1 sent 0 user IP mapping entries 08/01/17 07:28:30:045[Debug 77]: tid 3032: Probing IP 192.168.140.125 for jobID 2278. ... ... ...truncated for brevity...   admin@anuragFW> tail lines 10 agent-log 1.LAB_UIA.log 08/01/17 07:35:01:532[Debug 472]: UserIpMap: IP (10.21.56.153) Username (opxlab\administrator) queued for xmission to firewall 08/01/17 07:35:03:544[Debug 284]: Reading 25 security logs takes 0 ms for DC win_svr62.opxlab.pan. 08/01/17 07:35:03:560[Debug 367]: Composed ip-users msg with 1 add and 0 delete. 08/01/17 07:35:03:560[Debug 1009]: update uids is sent. 1 add 0 del. 08/01/17 07:35:04:558[Debug 3534]: Device thread 1 handle msg get:user_ip. bodylen 98 xml 1 08/01/17 07:35:04:558[Debug 3534]: Device thread 6 handle msg get:user_ip. bodylen 98 xml 1 08/01/17 07:35:04:558[Debug 691]: IP 192.168.73.16 is added for initial probing. jobid 2324 08/01/17 07:35:04:558[Debug 808]: Device thread 1 sent 0 user IP mapping entries 08/01/17 07:35:04:558[Debug 77]: tid 5224: Probing IP 192.168.73.16 for jobID 2324.   エージェント ログをクリアする際は、次のコマンドを実行します: admin@anuragFW> debug user-id agent LAB_UIA clear log debug log for agent 'LAB_UIA'(vsys1) is truncated.   ユーザーとIPのマッピング状況を表示する エージェントからのユーザーとIPのマッピング情報を表示する際は、次のコマンドを実行します: admin@anuragFW> show user ip-user-mapping all type UIA IP Vsys From User IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.21.56.138 vsys1 UIA opxlab\administrator 495 495 10.21.56.76 vsys1 UIA opxlab\dev22 332 332 10.21.2.31 vsys1 UIA opxlab\administrator 553 553 Total: 3 users   ユーザーとIPのマッピングを更新する エージェントからのユーザーとIPのマッピング情報を更新する際は、次のコマンドを実行します: admin@anuragFW> debug user-id refresh user-id agent LAB_UIA LAB_UIA all refretch from all user-id agent <value> specify one agent admin@anuragFW> debug user-id refresh user-id agent LAB_UIA mark agent LAB_UIA(1) for refetching all   User-ID エージェントとの接続をリセットする User-ID エージェントとの接続をリセット（再接続）する際は、次のコマンドを実行します: admin@anuragFW> debug user-id reset user-id-agent LAB_UIA LAB_UIA all reconnect all user-id agent <value> specify one agent admin@anuragFW> debug user-id reset user-id-agent LAB_UIA User-ID Agent agent 'LAB_UIA' in vsys1 is marked for reset.   エージェント関連の問題を表示する エージェント関連の問題に関するuseridd.logのログを表示する際は、次のコマンドを実行します: admin@anuragFW> debug user-id set agent all all basic basic conn conn detail detail group group ntlm ntlm sslvpn sslvpn tsa tsa admin@anuragFW> debug user-id set agent basic Debug level is info admin@anuragFW> debug user-id on debug debug level set to debug admin@anuragFW> tail follow yes mp-log useridd.log 2017-08-01 07:40:12.995 +0530 Warning: pan_regip_reg(pan_reg_ip.c:1152): tag FROM_PING for ip 192.168.143.144 exists, ignore 2017-08-01 07:40:12.997 +0530 Error: cfgagent_doop_callback(pan_cfgagent.c:553): Failed to handle op command for agent: useridd 2017-08-01 07:51:13.821 +0530 debug: pan_user_id_agent_uia_handle_msg(pan_user_id_uia_v5.c:1048): handling message status   参照 User-ID Agent Setup tips User-IDエージェント設定のヒント(Tips) (日本語翻訳)   How to Install User-ID Agent and Prevent 'Start service failed with error 1069' User-ID Agent のイントール および 'Start service failed with error 1069' の予防方法（日本語翻訳）   User-ID Resource list     著者: ansharma  

※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Management-Articles/User-ID-Agent-Shows-as-not-conn-on-the-Palo-Alto-Networks/ta-p/75618     User-ID エージェントの状態がPalo Alto Networks ファイアウォール上で'not-conn'と表示される。   admin@PA-200> show user user-id-agent state all   Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007           Status                                               : not-conn:idle           Version                                               : 0x0           num of connection tried                               : 13           num of connection succeeded                           : 0 .....   GUI上では、該当の状態は以下のようになります：        'non-conn' （未接続）状態は様々な理由で発生しえます。以下の事項をチェックしてください：   高可用性（HA）を設定していると、アクティブ デバイスのみがUser-ID エージェントに接続し、パッシブのファイアウォールは常に未接続と表示されます。 ユーザーID エージェントが機器/サーバーに適切にインストールされ、ホストが5007番ポートを開放している必要があります：User-IDエージェント設定のヒント(Tips) ファイアウォールからサービスルートにて、User-IDエージェントに対して適切な接続性を保つ必要があり、該当のポートは中間でブロックされてはなりません。 User-ID コレクターを使用する場合、再配信ファイアウォールが適切に設定され、ファイアウォールと接続性があることを確認してください。再配信ファイアウォールにて、サービスとポリシーが適切に許可されていることも確認してください：Firewall Deployment for User-ID Redistribution （訳注） ファイアウォールと再配信ファイアウォールはSSLを接続に使用するため、ファイアウォールで使用するSSL証明書が無効となっていないことを確認してください。管理ポートまたはデータプレーン ポート（サービス ルートを使用している場合）でハンドシェイクをキャプチャし、Client Certificateのパケットを展開して、証明書の有効性を確認してください：マネジメント インターフェイスでのパケット キャプチャの取得方法 何らかのエラーの出力がないか、ファイアウォールのUser-IDのログを確認します： admin@PA-200> tail follow yes mp-log useridd.log 2016-04-01 17:00:44.370 +0800 Error:   __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):50072016-04-01 17:00:44.371 +0800 Error:   __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(5007): Internal Error2016-04-01 17:00:44.371 +0800 Error:   pan_ssl_conn_open(pan_ssl_utils.c:383): pan_tcp_sock_open() failed   訳注：原文は翻訳時点でサポート期限切れのPAN-OS 6.0文書を参照していたため、翻訳文書ではPAN-OS 8.1文書へのリンクに変更しています   著者: abjain 

※この記事は以下の記事の日本語訳です。 Integrating Cisco ISE Guest Authentication with PAN-OS https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication-with-PAN-OS/ta-p/98295     Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。  この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。   Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。   — 詳細   Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります: Administration > System > Logging > Remote Logging Targets を選択します。 Addをクリックします。 Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。 Submitをクリックします。   他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。   ISEでPassed Authentication Syslog Messages転送設定をします。 Administration > System > Logging > Logging Categoriesを選択します。 Passed Authenticationsをクリックします。 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。 Saveをクリックします。    ユーザー ID Syslog リスナー UDPをPAN-OS上で有効にします。 Device > セットアップ > 管理インターフェイス設定を選択します。 ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。 OKをクリックします。   Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。 Device > ユーザー ID > ユーザー マッピングを選択します。 Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。 追加を選択します。 下記のようにすべての情報を入力します。   ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。   参照例としては、   10.10.130.0/24 = 無線ゲスト 10.10.30.0/24 = 無線ゲスト 10.10.140.0/24 = 有線ゲスト イベントの正規表現は以下のようになります。   Syslog 解析プロファイル: Cisco ISE イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140))) ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+ アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})  OKをクリックします。   Cisco ISE 2.1のsyslog 解析プロファイルは以下のようになります。 Event Regex ([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*) Username Regex User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a- zA-Z0-9\@\-\\/\\\._]+) Address Regex Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1 ,3}\.[0-9]{1,3})   ISEサーバーをサーバー モニタリングに追加します。 Device > ユーザー ID > ユーザー マッピングを選択します。 サーバー モニタリングにて、追加をクリックします。 名前と内容は自由に入力します。 タイプでは、Syslog Senderを選択します。 ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。 接続タイプはUDPを選択します。 フィルタにはCisco ISEを選択します。 デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。 OKをクリックして閉じ、Commitをクリックします。     準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。   show user server-monitor state  show user ip-user-mapping all type SYSLOG test user-id user-id-syslog-parse tail follow yes mp-log useridd.log   参考情報 Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog Configuring ISE to Forward User Login Events to CDA   著者: Marcos

 ※この記事は以下の記事の日本語訳です。 How to  Install User-ID Agent and Prevent 'Start service failed with error 1069' https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-User-ID-Agent-and-Prevent-Start-service-failed/ta-p/135227     この記事では、UserIDエージェントをインストールするために必要な手順と、正しく機能するために必要なアカウント権限について説明します。すべてのアクセスが許可されていない場合は、次のエラーが発生することがあります。 "Start service failed with error 1069: The service did not start due to a logon failure."   この記事では、サービスアカウントの例は「kumar@panrootdc.local」です。         Step1. User-idエージェントで使用しているアカウントが "Event log reader" と "server operator" に所属していることを確認します。この例では、 "kumar@panrootdc.local"は "server operator"、 "event log reader"に所属している必要があります。       Step2. アカウントはサービスとしてログオンする必要があります。管理ツール を開き、ローカルセキュリティポリシー を開きます。     ローカルポリシー > ユーザー権利の割り当て に移動します。サービスとしてログオン を検索します。ダブルクリックして、ローカルセキュリティ設定 にアカウントを追加します。         Step 3: 管理者モードでcmdを開き、 'gpupdate'を実行します。これをしない場合、変更が有効になるまでに時間がかかります。     Step 4. アカウントには、ユーザーIDエージェントがインストールされているフォルダへのアクセス許可が必要です。権限を与えるには User-IDエージェントがインストールされているフォルダに移動し、必要な権限を与えます。         Step 5. アカウントにレジストリの権限が必要です。以下の場所でPalo Alto Networksフォルダを見つけます:   Computer\HKEY_LOCAL_MACHINE\Software\Palo Alto Networks   または   Computer\HKEY_LOCAL_MACHINE\Software\WOW6432Node\Palo Alto Networks       Step 6. WMI CIMv2のアカウントに適切な権限を与えます。： 'ファイル名を指定して実行'で 'wmimgmt.msc' と入力してEnterキーを押します。     著者: pankaku

※この記事は以下の記事の日本語訳です。 How to Unlock Users on the Lock List for Failed Maximum Authentication Attempts https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Unlock-Users-on-the-Lock-List-for-Failed-Maximum/ta-p/66195   事象 認証の試行が許容されたログイン回数を超えると、ユーザーはロックされた状態になり、以下のエラーメッセージがauthdログに表示されます。   "pan_authd_generate_alarm(pan_authd.c:808): Generating alarm for auth failure log: Admin jai failed to authenticate 2 times - the unsuccessful authentication attempts threshold reached. Admin jai's account is being disabled due to excessive failed authentication attempts".   原因 ユーザーが最初に認証しようとしたときに、許容ログイン回数が2に設定され、ロックアウト時間が10分に設定されている場合、最初の プロファイルがチェックされます。試行が失敗すると "Profile2" がチェックされ、それでも失敗すると、ロックアウト時間に指定された短い時間ロックされた状態にプッシュされます。   失敗した試行が3に設定されている場合、最初の試行でプロファイル  "Profile" を確認し、2回目の試行で "Profile2" をプロファイルし、3回目の試行で プロファイル "Profile" を再度チェックします。ユーザーに2つの認証プロファイルがあり、失敗した試行が1と設定されている場合、2番目のプロファイル "Profile2" は評価されず、ユーザーは直ちにロックされた状態に移行します。   デバイス> 認証シーケンス は以下になります:   注 : ロックアウト時間が0分に設定されている場合、ユーザーは特定の時間が経過してもロックが解除されないため、対象者が管理者の場合は Device > 管理者 タブ、ほかのユーザーの場合は Device > 認証プロファイル を使用して管理者が手動でロックを解除する必要があります。   ユーザーがロックされると、次のCLIコマンドを実行した際に以下のログが表示されます。 >   tail follow yes mp-log authd.log   2回試行した後、ユーザーは無効になり、ロック状態になります:   syslogは次のログを生成します。これは、アカウントがロックされ、ロックされたユーザーリストに置かれていることを示しています。   解決策 デバイス > 認証プロファイル に移動します 最後「ロックされたユーザー」列で、「ロック解除」アイコンをクリックします: 対象ユーザーは以下のようにロックが解除されます: デバイス> 管理者 で対象の管理者ユーザーのロックを解除することもできます:   owner: dantony

この記事は、以下の記事の日本語訳です。 Getting Started: User-ID https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-User-ID/ta-p/69321     ファイアウォールで、ユーザーの識別もできます！   ユーザー名によるユーザーの識別には幾つかのオプションがあり、これらを利用して何ができるのかを見ていきましょう。以下ではUser-IDエージェントを使った設定の仕方と、エージェントレス モードとの比較、キャプティブ ポータルの設定、セキュリティー ポリシー内のグループ マッピング設定についてご説明します。     Windowsの設定   まず、User-IDエージェントをSupport Portal の"Software Updates"からダウンロードします。インストーラーをダウンロードしたら、Active Directoryが動作しているサーバーにインストールすることをお勧めします。ただ、これは必須ではありませんので、別のサーバーの方が望ましい場合はそちらを利用してください。WindowsのUAC(ユーザー アクセスコントロール)機能を考慮し、Administrator権限でインストールしてください。コマンド プロンプトを”Run as administrator(管理者として実行)"オプションで起動し、インストーラーを保存したフォルダに移動してコマンド ラインから実行します。       インストールが完了したら、User-IDエージェントをスタート メニューから起動し、”edit”をクリックして設定を行います。   はじめに、サービスを実行するためのユーザー名を設定する必要があります。このアカウントは少なくとも以下の権限があることを確認してください(権限の不正/不完全により”Start service failed with error 1069”というエラーが出るため)。ユーザー権限については  How to Install User-ID Agent and Prevent 'Start service failed with error 1069'    にてステップ バイ ステップで設定方法をご紹介しています。　 Event Log Readers (Windows Server 2003のセキュリティー ログ監査・管理) Server operator (サービスとして実行させるため) DCOM Users (WMIプローブのため) もしわかりづらいようであれば、Administratorアカウントを使って設定を進めるのがよいでしょう。関連のURLは一番下に記載しておりますので、User-ID導入について詳細を確認したい方はそちらをご参照ください。   admin guideにもリストされている通り、User-IDエージェントはlogon_successとauth_ticket_granted/renewのイベントを吸い上げます。 Windows Server 2003—イベントIDは672 (Authentication Ticket Granted:認証チケットが承認されました)、 673 (Service Ticket Granted:サービスチケットが承認されました)、および 674 (Ticket Granted Renewed:チケットが更新されました)です。 Windows Server 2008/2012 (R2を含む) または MS Exchange—イベントIDは 4768 (Authentication Ticket Granted: 認証チケットが承認されました )、 4769 (Service Ticket Granted: サービス チケットが承認されました )、 4770 (Ticket Granted Renewed: チケットが更新されました )、および 4624 (Logon Success:ログオンが成功しました)です。   AD上でauditが有効化されSuccessになっていることを確認してください。この状態でADのログからイベントを捕捉することができます:     User-ID エージェントの設定     User-IDを利用するためのユーザーをまだ作成していない場合は、Administratorアカウントで設定を進めてください。このアカウントは後から変更することもできますが、その際は推奨となっている設定をよくご確認の上実施してください。"Setup"をクリックし、ポップアップしたウィンドウの最初(一番左)のタブでユーザー名を設定します。     次の”Server Monitor”タブでログを読み取る頻度を設定します。これはイベント ログを何秒に一度吸い上げてログイン成功イベントを確認し、送信元IPアドレスとそれに紐付けるユーザー アカウントをリストに追加していく頻度になります。多くの場合では、デフォルトとなっている1秒が推奨です。   サーバー セッションをenableにすると、クライアントとサーバー間のコネクションをモニターすることができます。これにより多くのクライアントがADにマップされたドライブを持っている場合、ユーザー アカウントがまだログイン中でコネクションが生きている状態かどうかを判断するのに有益です。   ”Client Probing"タブでWindowsクライアントに対してまだそのアカウントでログオンしているかどうかを定期的にプローブしてチェックするかどうかと、そのチェックの間隔を設定することができます。これらのプローブはローカル アカウントでログオンしたPCや、突然ネットワークから離脱したPCがある場合に、ユーザーとIPのマッピングを解除します。ただし、クライアントでもこのプローブ機能をサポートする必要があるため、この機能の展開には注意が必要です。例えばファイアウォールのポリシーでプローブが許可されていなかったり、クライアント側でUser-IDエージェントで設定しているユーザー アカウントからのプローブに対応できるようになっていないと、プローブが失敗し、ユーザーとIPのマッピングが解除されてしまいます。もし、クライアントがプローブをサポートしているかどうか不明な場合は、サーバーおよびクライアントいずれのプローブ機能も無効化してください。   ”Cache”タブではユーザーとIPのマッピング情報について、そのタイムアウトを設定できます。特にプローブ機能が無効化されている場合は、タイムアウトを設定することによって、最新ではない情報を削除することができます。AD上ログイベントが検知された場合はタイムアウト値はリセットされます。   もし、ユーザーとIPアドレスがほぼ固定のオフィスなら、タイムアウト値は600分以上に設定しておくのが無難です。これはkerberosのデフォルトの有効期間が10時間になっているためです。反対に、多くのユーザーがワーク ステーションを共有しており、ユーザーとIPのマッピングが頻繁に変わるような環境であれば、タイムアウト値は短く設定しておくほうがよいでしょう。   "Agent Service"タブでは、ファイアウォールとのコネクションに使用する待受ポートを変更することができます。   通常は"eDirectory"タブと"syslog"タブの設定はそのままでよいので、"OK"をクリックしてください。設定内容のサマリーとUser-IDエージェントにアクセスできるデバイスのIPアドレスまたはサブネットを制御するためのAccess Control Listを設定、表示する画面になります。"Commit"をクリックして設定を反映させます。   サービスが正常に起動していれば、メイン ページで"Agent is running"と表示されますので、確認してください: もし、エージェントが起動していなければ、"Start"をクリックして、手動で開始してください。   次にUser-IDエージェントがユーザー アクティビティの情報を取りに行くために接続するActive Directoryサーバーを設定します。"Directory"ページで"Auto Discovery"をクリックすると、User-IDエージェントがインストールされているサーバーが持つ情報をもとに、アクセス可能なサーバーをリストします。表示されたサーバー以外のサーバーも利用する場合は、手動で設定します。このケースのようにマルチ ホーム環境で複数がリストされている時は、必要に応じて余分なエントリを削除することもできます。   ユーザーのログイン イベントをモニターする、またはモニターから外すサブネットを"Include/Exclude list"で指定することができます。   "Monitoring"ページでユーザー名とIPアドレスのマッピングが確認できます。User-IDエージェントが最初に起動した際はActive Directoryの最新の50,000のログ エントリを確認し、以降毎秒新しいエントリをモニターします。これは1日のうちのどの時間かということやサーバーのイベント ログの動きにもよりますが、User-IDエージェントの"Monitoring"タブで表示されるエントリが正しくアクティブなIPアドレスと紐付けされるようになるまで、しばらく時間がかかります。(セキュリティポリシーを適用する際にこのことを考慮してください。)   エージェントの準備ができましたら、ファイアウォールのGUIを確認してください。"Device"タブの"User Identification"で先ほどUser-IDエージェントで設定したものと同じ項目が設定できるようになっていますが、これはエージェントレスの時に使用します。エージェントレスは小規模で展開する際や、Active Directory上でソフトウェアをインストールできない場合などに有効です。大規模なネットワークにおいては、ファイアウォールに多大な負荷となるため、エージェントレスによるUser-IDの展開は推奨されていません。   ファイアウォールからUser-IDエージェントに接続する設定は、左から2番目の"User-ID Agent"タブで行います。"Add"をクリックして、User-IDエージェントの情報を入力してください。 "Name"にはどのUser-IDエージェントか区別しやすい名前を入力し、"Host"にはUser-IDエージェントのIPアドレスを入力します。"Port"はUser-IDエージェントの"Agent Service"タブで設定した待受ポートと同じポート番号を入力します。"Collector"はある特定のファイアウォールがログオン イベントの収集を行い、他のファイアウォールがそのファイアウォールから情報をもらう場合に設定します。キャプティブ ポータルでブラウザのNTLM認証を利用する場合は、少なくとも1つ以上のエージェントをProxyとして動作させる必要があります。その場合はこのオプションは有効化しておいて下さい。キャプティブ ポータルの設定箇所でNTMLの設定について後述します。   コミットして少しすると、"Connected"の行のランプがグリーンになります。   次に、User-IDを使うゾーンで、ユーザー識別を有効化します。インターネット向けのゾーンでユーザー識別を有効化することはお勧めできませんので、利用する場合は本当に必要なゾーンの必要なサブネットに限定するACLを記述してください。これを怠るとファイアウォールから、外部向けインターフェイスに接続されたすべてのIPアドレスに対してクエリーを送出してしまいます。   ゾーンでユーザー識別機能を有効にするには、"Network"タブ→"Zone"からTrust側のゾーンを開き、"Enable User Identification"にチェックをつけてください。   必要なゾーン全ての設定が終わったらコミットしてください。コミット後から、トラフィック ログでユーザー情報が表示されるようになります:     キャプティブ ポータル     Active Directoryのイベント ログを通じてユーザー情報を採取することができないユーザーがいる場合、キャプティブ ポータルを導入することもできます。ブラウジング セッションを待ち受けでき、ユーザーのブラウザがNTMLを利用した資格情報のクエリーに対応しているか、またはユーザー名とパスワードを入力するウェブ画面を提供できる環境でキャプティブ ポータルを構築することができます。   ユーザーは認証が求められるポータルのページにリダイレクトされるので、組織外でも信頼された証明書を所定の場所に用意しておくのがベストです。サーバー証明書の作成にCA認証局が利用できる場合は、リダイレクト時にエラー メッセージはポップアップされません。ローカルのCAが利用できない場合は自己証明書を生成して手動でインポートしておくことで、同じようにリダイレクト時のエラーがポップアップされないようすることができます。   PAのGUIで"Device"タブの中で自己証明書を作成したり、ユーザー組織の証明書をインポートできます。下の例ではCAとして証明書を発行していますが、これは必須ではありません。Common NameはPAのインターフェイスのアドレスをリダイレクトIPとして利用するので、それをそのまま入力してもよいですが、内部DNSで名前解決できる場合は"captiveportal.mycompany.com"のようにFQDNを指定してリダイレクトに使うこともできます。 次に、"Device"タブ->"Certificate Management"下の"SSL/TLS Service Profile"でキャプティブ ポータル用のサーバー証明書を選択し、サポートするTLSのバージョンを設定してください:   キャプティブ ポータル設定の前に、もう一つ認証の設定が必要です。"LDAP Server Profile"画面で、Active Directoryサーバーのための新しいLDAPプロファイルを作成してください。 LDAPサーバーの設定が完了したら、Authentication Profileの設定をします。環境に応じたLogin Attributeになっているか確認してください。例えばActive Directoryの場合は通常 'sAMAccountName'を使用します。 "Advanced"タブで認証するユーザーのグループを制限できますが、ここでは"All"を選択します。   次にキャプティブ ポータルを設定します。   リダイレクト モードの場合、ユーザーはファイアウォールのインターフェイスに設定されたランディング ページにリダイレクトされます。先ほど作成した証明書により、この時エラー メッセージが出ないようになります。トランスペアレント モードの場合はファイアウォールがもともとのHTTP/SリクエストのURLになりすまし、HTTP 401(Unauthorized)が返されます。インラインであることで適切な証明書をクライアントに予め入れておくことが難しいため、証明書のエラーは毎回発生することになります。 SSL/TLS Service Profileには、キャプティブ ポータル用の証明書を指定します。 Authentication ProfileではLDAPのAuthentication Profileを指定します。 Redirect Hostにはリダイレクトに使うファイアウォールのインターフェイスのIPアドレスを入力します。前述の通り、名前解決できるようなら証明書のCommon Nameと同じFQDNを指定することもできます。 リダイレクトを動作させるのに、応答ページの設定が必要です。応答ページは"Interface Management profile"で設定します。" Getting started"シリーズの   Layer3 installment ではInterface Management profileでPingを許可する設定をご紹介していますが、同じ箇所で応答ページも有効化できます:   最後にキャプティブ ポータルのポリシーを作成します。下の図の1行目はbrowser-challenge用で2行目はweb-formのものです。"captive-NTLM"のアクション、"browser-challenge"によりファイアウォール側からブラウザに対してNTLM認証を試行します。これが失敗すると、2行目のポリシに従い、ユーザーはweb画面でユーザー名とパスワードを入力することになります。     グループ マッピング   これまでの作業でLDAP Profileが作成されているので、あと1つ設定を行えばActive Directoryからグループの情報も取得可能になります。グループ情報はセキュリティ ポリシーの中で利用することができ、ユーザー アカウントやグループの所属に応じてAllowやdenyのアクションを取ることができます。   "Device"タブ->"User Identification"で、新規にグループマッピングのプロファイルを作成します。"Server Profile"はLDAP Profileを指定し、"User Domain"にはNetBIOSのドメインを入力します。 Update Intervalはデフォルトで3600秒(60分)になっています。ユーザーのグループ設定が頻繁に変わる環境なら、この間隔は短くしたほうが良いでしょう。"Group Include List”ではどのグループの情報をファイアウォールに反映するかを決めます:     利用するグループを選択したら、設定をコミットします。コミット後、セキュリティ ポリシーのユーザーの項目で、これらのグループが利用できるようになります。     以下はユーザーのグループ情報を使ったセキュリティ ポリシーの例です:     CLI コマンド   ユーザーの識別とグループ マッピングが正しく動作しているかを確認するCLI コマンドが幾つかあります:     "show user group name <groupname>" は特定のグループのメンバーを表示します > show user group name "cn=domain users,cn=users,dc=example,dc=com" short name:  example.com\domain users source type: ldap source:      groupmapping [1     ] example.com\administrator [2     ] example.com\astark [3     ] example.com\bstark [4     ] example.com\cgrimes [5     ] example.com\dtargaryen [6     ] example.com\jlannister [7     ] example.com\jsnow [8     ] example.com\lgrimes [9     ] example.com\rgrimes [10    ] example.com\tlannister [11    ] example.com\varys   "show user group-mapping state all" は グループ マッピング プロファイルの状態と直近の更新時間/次回更新までの時間を表示します > show user group-mapping state all Group Mapping(vsys1, type: active-directory): groupmapping         Bind DN    : administrator@example.com         Base       : DC=example,DC=com         Group Filter: (None)         User Filter: (None)         Servers    : configured 1 servers                 10.192.16.98(389)                         Last Action Time: 3418 secs ago(took 0 secs)                         Next Action Time: In 182 secs         Number of Groups: 3         cn=it staff,cn=users,dc=example,dc=com         cn=human resources,cn=users,dc=example,dc=com         cn=domain users,cn=users,dc=example,dc=com   "show user ip-user-mapping all" はユーザー識別が行われた現時点での全アクティブ ユーザーとどのような情報からユーザー識別が行われたかを表示します > show user ip-user-mapping all IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.0.0.188      vsys1  UIA     example\rgrimes                   1304           1304          10.0.0.29       vsys1  CP      example\administrator             561            2593          Total: 2 users > show user ip-user-mapping all type   AD        Active Directory   CP        Captive Portal   EDIR      eDirectory   GP        Global Protect   SSO       SSO   SYSLOG    Syslog   UIA       User-ID Agent   UNKNOWN   Unknown   XMLAPI    XML API   上記の他に   User-ID CLI cheat sheet  でも便利な  CLI コマンドをご紹介しています。   その他、User-IDの展開に役立つ情報としては以下があります:   Best Practices for Securing User-ID Deployments   User-ID エージェントが読み取る全イベントIDのリストは   admin guide でご確認頂けます。   この記事は気に入って頂けましたか？元記事のコメント欄に遠慮なくコメント頂ければ幸いです。 過去記事のリスト   Getting Started: the series もご参照ください。   Tom

  ※この記事は以下の記事の日本語訳です。 User Identification through TSA not working for HTTP https://live.paloaltonetworks.com/t5/Management-Articles/User-Identification-through-TSA-not-working-for-HTTP/ta-p/62949   問題 ターミナルサーバーエージェント(TSA) の ip-user-port マッピングが、http トラフィックにおいて正しく実施されません。（事象が報告された環境では）80以上のCitrixサーバーが構成されており、すべてがパロアルトネットワークスのターミナルサービスエージェントを実行しています。 ユーザーが PC で https サイトを閲覧すると、トラフィックは Citrix サーバーに送信され、ip-port-user-mapping は正しく（TSAで設定された範囲内で）https トラフィックが許可されます。 ユーザーが同じマシンと同じブラウザー（Internet Explorer）から http サイトを閲覧すると、トラフィックは Citrix サーバーに送信されますが、誤った送信元ポートが割り当てられてしまいます（TSAで割り当てられた範囲外のポート）。送信元ポートが正しくないためなので、誤った ip-port-user-mapping が原因でファイアウォールによってトラフィックが拒否されます。   原因 Citrix ターミナルサーバーに TrendMicro 製品がインストールされている場合、TrendMicro プロキシ機能によって問題が発生している可能性が考えられます。   解決方法 この問題を解決するには、TrendMicro プロキシ機能、またはすべての TrendMicro サービスを無効にします。 （※日本語訳者注：この問題は、同様のプロキシ機能を持つ 他製品/ソフトウェア の場合にも発生する可能性が考えられます。）   owner:  tpiens

※この記事は以下の記事の日本語訳です。 How to Troubleshoot Terminal Server Agent Problems https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Troubleshoot-Terminal-Server-Agent-Problems/ta-p/57247   問題 多くのユーザーが同じIPアドレスを使用するため、ターミナルサーバーでユーザー単位でのトラブルシューティングの実施は困難な場合があります。IPアドレスベースのフィルタを利用できますが、これは単一ユーザの情報を提供しません。 詳細については次のリンクを参照してください:How to Run a Packet Capture 効果的にフィルタリングするには、ユーザーごとに割り当てられた送信元ポートの範囲に注目します。   解決方法 ターミナルサービスエージェントのユーザーのソースポート割り当て範囲を確認します。フィルタの 'src port range' の値にこのデータを使用します。 以下に示す Wireshark フィルタを使用して、デバッグ目的でパケットキャプチャ内の特定のユーザのトラフィックを調べることも可能です。     tcp.dstport >= 開始送信元ポート範囲 and tcp.dstport <= 終了送信元ポート範囲 or tcp.srcport >= 開始送信元ポート範囲 and tcp.srcport <= 終了送信元ポート範囲     注：下線付きの部分の値は、この箇条書きの最初の項目で収集した数値に置き換える必要があります。 監視対象のゾーンで User-ID が有効になっていることを確認します。ユーザー識別機能を有効にすることで、ユーザーIDエージェントとTSエージェント機能の両方が有効になります。 次のCLIコマンドを使用して、ターミナルサーバーエージェントの状態を確認します。 （正しく動作している場合、下段の表示となります）: > show user ts-agent statistics 次のCLIコマンドを使用して、ユーザからポートへのマッピングを確認します: > show user ip-port-user-mapping all   User IP-Address Vsys Port-Range ---------------------------------------------------------------------------- test1 10.1.200.1 vsys1 20000-20500 test2 10.1.200.1 vsys1 20500-21000 21500-22000 test3 10.1.200.1 vsys1 21000-21500   ターミナルサーバーエージェントは、トラブルシューティングに役立つログファイルを管理しています。ログファイルは、File > Show Logs で表示できます。詳細情報を有効にするには、 File > Debug に進み、Verbose を選択します。より詳細なメッセージがログ内に表示されるようになります。 owner: kattaullah

※この記事は以下の記事の日本語訳です。 Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009 https://live.paloaltonetworks.com/t5/Management-Articles/Error-Failed-to-connect-to-User-ID-Agent-at-x-x-x-x-x-x-x-x-5009/ta-p/60880   問題 ターミナルサーバーエージェントへの接続が、次のシステムログ内のエラーとともに失敗します："Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009"。このドキュメントでは、このエラーが出た後に TS エージェントに接続する手順を含みます。   解決方法 ターミナルサーバーエージェントがファイアウォールとの接続できない場合、以下の手順に従います。 設定について、次のドキュメントで記載されている内容に沿って確認します。 How to Install and Configure Terminal Server Agent ファイアウォールとターミナルサーバーエージェント双方のリスニングポートが一致しているか確認します。 TS エージェントに ACL リストが設定されている場合、ファイアウォールの IP が許可されていることを確認します。また、許可リストがファイアウォールのマネジメントインターフェイスに設定されている場合には、TS エージェントが許可されていることを確認します。 注：デフォルトでは、リストが指定されていない場合は全ての IP を許可します。 ファイアウォールの設定を Commit します。 ファイアウォールに接続ができるよう、TSエージェントがインストールされているマシンの Windows Firewall を無効にします。   著者: bsyeda

※この記事は以下の記事の日本語訳です。 Terminal Server Agent Registry Tuning for Better Port Allocation and Handling, Time Wait State https://live.paloaltonetworks.com/t5/Configuration-Articles/Terminal-Server-Agent-Registry-Tuning-for-Better-Port-Allocation/ta-p/51985     問題 特定のサイトへWebブラウザでアクセスする際、ターミナルサーバーによりユーザはすべてを閲覧することが出来ません。   原因 原因は、一部のWebサイトにおいてポートを解放するより前に短時間にポートを多く使用することがあるためです。Webサイトからの継続的なポート割り当てにより、Windowsオペレーティングシステムがポートを開放する前に、Terminal Server Agent（TSA）からの早すぎるポートの割り当てが発生します。したがって、接続エラーが発生します。 注：この問題は、多数のポートの使用と解放を高速に行うアプリケーションでも発生する可能性があります。   Windows は Timed Wait State　をポートに割り当てます。これはWindows上で設定可能な値です。30-300 秒の10進数の値で、デフォルトは240秒です。 (Default)                REG_SZ          (value not set) TcpTimedWaitDelay        REG_DWORD       0x0000001e (30)   対応するレジストリ設定: システムキー: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 値名: TcpTimedWaitDelay データ型: REG_DWORD (DWORD 値)     解決方法 この問題に対処するため、TSA (Terminal Server Agent) バージョン5.0.1 では新しい設定が導入されました。この追加された Time Wait State (TWS) 設定により、TSエージェントは Windows システムの TcpTimedWaitDelay を追跡することができるため、Timed Wait State にあるポートはTSエージェントにより選択されなくなります。この設定を有効にすると、システムがポートブロックの通常の低いしきい値に達すると、新しいポートブロックが割り当てられます。デフォルトでは、この新しい動作は無効になっており、レジストリの編集でのみ設定の変更が可能です。   加えて、複数のポートが Timed Wait State に置かれることから、ユーザーの多くのアクティビティによりさらに多くのポートが Timed Wait State となり、その結果その時点では実際には必要のない追加のブロックが割り当てられる可能性があります。他のユーザーは、その他のユーザが蓄積している、すでに必要のない、しかしアクティビティ不足により開放されないポートブロックにより、ポート不足に陥るかもしれません。これに対処するため、TSAに不要となったポートブロックを解放するためにドライバをポーリングするタイマー設定を導入しました。このタイマーは、TWS機能が有効な場合にのみ実行されます。デフォルトのタイマー値は240秒で、レジストリで変更することができます。   Time Wait State (TWS) 機能の動作と設定 この機能を有効にするUIはありません。この機能を無効にする際にも、Windowsレジストリを編集する必要があります。 警告：レジストリの変更を行うときは注意が必要です。レジストリの値の変更時にエラーチェックはありません。     TWSの有効化/無効化 レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\TS Agent\Conf\EnableTws デフォルト値: 0    [0-無効, 1-有効] 変更が反映されるようにTerminal Server Agentサービスを再起動します。   未使用ポートブロックの定期的な消去: レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\TS Agent\Conf\FreePortBlockDelay デフォルト値: 240  (秒), 0の場合タイマーは無効 この値の変更は自動的に適用されるため、サービスを再起動する必要はありません ドライバによる多くのクリーンアップ動作を引き起こすため、FreePortBlockDelay を極端に短くし、積極的に動作させるべきではありません。この値はシステムのデフォルトの Timed Wait Delay（TcpTimedWaitDelay）の 240秒 に一致させることをお勧めします。   解決方法 多くのTime Wait 接続のためにポートが枯渇した場合は、次のレジストリを変更してください。   Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay Value: 30 Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\StrictTimeWaitSeqCheck Value: 1 Key: HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\TS Agent\Conf\EnableTws Value: 1 Key: HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\TS Agent\Conf\FreePortBlockDelay Value: 30 2番目のregedit値がない場合には、手動で追加する必要があります。これらの値は Windows カーネルに、TcpTimedWaitDelay 設定の代わりに、カーネルに30秒以内にこれらのポートを解放するよう通知します。これらの設定がない場合、Windowsカーネルは、ビジー状態等が発生した際にポートを解放するのを遅延させる可能性があります。   最初の2つの値は、WindowsカーネルにTime_Waitedポートを30秒以内に解放するように指示します（デフォルトのカーネル値：240秒）。 TSエージェント側でこのような値を短くする場合は、一貫性を保つために Windows カーネルの値も短くする必要があります。   注：ターミナルサーバーエージェントサービスは、TSエージェントのレジストリ値を変更した後にサービスを再起動する必要があります（3番目と4番目の値）。 カーネルの Tcpip スタックの パラメータ（最初と2番目の値）が変更された場合、Windows OSを再起動する必要があります。     owner: sberti

※この記事は以下の記事の日本語訳です。 How to Configure LDAP Server Profile https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-LDAP-Server-Profile/ta-p/58689   手順 Device をクリック Server Profiles 配下にある LDAP をクリック Add をクリックして LDAP Server Profile ダイアログを表示 Server名、IP Address、ポート番号を入力 (389 はLDAP) LDAP サーバー type をドロップダウン メニューから選択。ドメインのベース識別名 (Base Distinguished Name) を入力。バインドDN と そのサーバー アカウントのバインド パスワードを入力。SSL のチェックボックスをはずす。 (ドメイン コントローラーが ポート 636 で LDAP SSL を待ち受けている場合、SSLが利用可能) 変更をCommit   著者: bnelson

セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。

※この記事は以下の記事の日本語訳です。 How to Configure Group-Mapping in a Multi-Domain Active Directory Domain Services (AD DS) Forest https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-in-a-Multi-Domain-Active/ta-p/60784     PAN-OS 6.1にまで対応していますが、以降のバージョンについては、以下をご参照ください。   概要 この資料は、マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下で、クロス ドメイン ユーザーのユーザー名のフォーマットが矛盾しないように、グループ マッピングを正しく設定する方法について記載します。そのフォレストにおいて、他のドメインからすべてのオブジェクト (ユーザーあるいはグループ) を取得する場合、グループ マッピングに際して、「グローバル カタログ」として定義されたADサーバーを使用します。グローバル カタログは分散型のデータの貯蔵庫であり、そのフォレストの各ドメイン メンバーの中の各オブジェクトの検索可能な部分的な属性を保持します。   重要！適切に設定されていない場合、グループ マッピングの中の一部ユーザーが、netbios/domain-name (dummydomain/username) となる代わりに fqdn-domain-name/username (dummy.example.com/username) としてフォーマットされてしまい、User-IDエージェント、あるいはエージェト レスなUser-IDサービスから取得されたIPアドレスとユーザーのマッピングに矛盾を生んでしまう問題を起こす可能性があります。   手順 グローバル カタログ（通常はルート ドメイン）として設定されているADサーバーは、LDAPサーバーのプロファイル内に設定される必要があります。このサーバーの3268（あるいはSSL用の3269）ポートに接続します。 通常、PAN-OSにドメイン名を置き換えさせるために、ドメイン欄を設定します。そうしたくない場合は、空欄のままにします。 注：グローバル カタログに対してこの設定を行うことで、他のドメイン（フォレストのメンバー）も含め、このサーバーから取得されるすべてのユーザーとグループのドメイン名を置き換えてしまいますので、ご注意ください。空欄にしておくことで問題が起きる場合、ドメイン名（訳注：フルFQDNでないNetBIOS名の意）のみをこの欄に入力します。例えばドメインは"acme.local"の場合、"acme"が必要なので、"acme"とドメイン欄に入力します。 グループ マッピングの設定に、このプロファイルを使用します（また必要に応じて、設定済みのリストを使用します)。 ドメイン名が手順2にて手動で設定していない場合、別のLDAPサーバー プロファイルを使用するグループ マッピングの追加が必須であり、同じADサーバーに通常の389（あるいはSSL用の636）ポートの同じADサーバーにクエリを行います。この操作は、ユーザーのフォーマットを netbios_domain_name/username として正規化 するためのドメイン マップを正しく生成するために必要です。 このプロファイルは、ドメイン マップを取得するために使用するため、ドメイン欄を設定する必要はありませんが、空欄のままにしておくこともできます。ここで使用されているADサーバーは、フォレストの別のドメイン コントローラーになることができ、ドメイン マップにクエリするパーティション コンテナは、すべてのドメイン コントローラーで複製されます。手順2の注をご覧ください。 Active Directoryが多数のユーザーやグループを保持している場合、GM-AD設定の中で、それらのためにいくつかの検索フィルタを設定すると良いでしょう。これはこのグループ マッピングでのLDAPのクエリ結果による、管理プレーンのリソース影響を抑えるためです。 このグループ マッピングは、ドメイン マップを決めるためにだけ使用されているので、ユーザーやグループのために結果を取得したり操作したりする必要はありません。   この例では、検索フィルタは"Dummy"という文字列で設定していますが、LDAPのクエリ結果を確実に 0 とするために、ユーザーとグループのDescriptionフィールドにはその文字列"Dummy"が含まれなければいけません。   参照： LDAP Group Mappings in a Mixed 6.x and 7.x Environment with Panorama       著者：nbilly

※この記事は以下の記事の日本語訳です。 How to Collect the User-IP Mappings from a Syslog Sender Using an User-ID Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Collect-the-User-IP-Mappings-from-a-Syslog-Sender-Using/ta-p/62085     訳注：本文書で紹介する機能はPAN-OS 6.0から対応しています。   概要 PAN-OS 6.0より、Palo Alto NetworksファイアウォールとUser-IDエージェントを、ネットワーク上の様々なシステムからSyslogのログを収集するためのSyslogリスナーとして使用し、、またユーザーとIPアドレスを対応させることができるようになりました。ユーザーとIPアドレスの対応付けは、セキュリティ ルールとポリシーで使用できます。ファイアウォールのPAN-OSのバージョンとUser-IDエージェントのバージョンは、少なくとも6.0である必要があります。 注：ファイアウォールのPAN-OSのバージョンは、User-IDエージェントのバージョンと同じか、それ以降のバージョンである必要がありますが、同じバージョンである方が望ましいです。   この資料では、WindowsサーバーにインストールされたUser-IDエージェント上で、カスタムSyslog Senderを設定する方法を説明しています。 Palo Alto Networksファイアウォール上での同様の設定については、こちらをご覧ください： How to Configure a Custom Syslog Sender and Test User Mappings.   ファイアウォールは、User-IDエージェント上で、定義済みのフィルターをSyslog Senderとして利用することができますが、管理者は、ネットワーク システムによって生成されるログに応じたフィルターを作成する必要があります。この設定に対する前提条件として、User-IDエージェントはファイアウォールに接続されており、ユーザーIPマッピングが接続したPalo Alto Networksデバイスに送付されている状況を想定します。   追加要件： Syslog Senderのログについての知識 Syslog SenderのIPアドレスについての知識 ログを受信するために使用することができるサーバー上の、利用可能なポートについての知識 ユーザーが接続しているドメイン、ログイン時の"domain\"表記法の知識 フィールド識別子、あるいは正規表現の識別子の用法に関する判断   手順 ログの分析： ログの中を見て、ユーザー IPマッピングに必要なフィールドを見つけます。これらのフィールドは、次の要素を含む必要があります；ユーザー名、IPアドレス、区切り文字、イベントの文字列。イベントの文字列は、、特定のユーザーがログインに成功したこと、そしてそのユーザー名とIPアドレスを収集し、それらをユーザーIPマッピングのデータベースに追加する必要があることをファイアウォールに教えてくれます。   以下のSyslogの例は、Aruba Networks社製のWireless Controllerからのログを表示しています： 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF 2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest 2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest   上記のログ (Syslogの出力) の分析から、フィールド識別子を使用して解析できることが分かります。 イベントの文字列："User Authentication Successful:" ユーザー名のプレフィックス："username=" ユーザー名の区切り文字：空白スペース アドレス プレフィックス："IP=" アドレスの区切り文字：空白スペース   注： 「空白スペース」というのは、キーボードのスペースキーを押す、ということです。   設定： Syslog解析プロファイルを定義します。これは、ファイアウォールのリスナーに送信されるSyslogのイベントのために使用されます。 User-IDエージェントからSyslogタブを開きます：[ User Identification ] > [ Setup ] > [ Edit ] > [ Syslog ] 新しいSyslogのメッセージのために、待ち受けるポートを選択します。 新しいSyslog解析プロファイルを追加します。 適切なSyslog解析プロファイル名と、必要に応じて内容を入力します。 適切な解析タイプを選択します (今回の例では、フィールド識別子が設定されています)。 先の手順で実施の「ログの分析」に従い、詳細を入力します。 Syslogサービスを有効にすることを忘れないでください 設定をすべて終えた後のSyslogフィルターは以下のように表示されます： モニタするサーバーのリストで、該当のサーバーを設定します： User-IDエージェントから、[ User Identification ] > [ Discovery ] > [ Server ] > [ Add ] にて、新しいサーバーを追加します。 名前とIPアドレスを入力し、サーバー タイプとしてSyslog Senderを選択します。 先の手順で定義したフィルターを選択します。 必要に応じて、デフォルト ドメイン名を入力します（これを入力した場合、このサーバー接続を使用して検出されたすべてのユーザーに対して、ドメイン フィールドが先頭に付与されます）。 User-IDエージェントに対する変更を、コミットをクリックして反映します。 サーバーが、定義されたポートで待ち受けていることを確認します （サーバー上のコマンドプロンプトで、"netstat"コマンドを使用します）。 Server Senderからログを受信しているかどうか、またUser-IDエージェント上でマッピングが生成されているかどうかを確認します。 ファイアウォール上で、User-IDエージェントからマッピングを受信できているかどうかを確認します。これらのマッピングのタイプは、User-IDエージェントから収集されてファイアウォールに渡されたものであるため、Usre-ID エージェントとなります。   著者：ialeksov

※この記事は以下の記事の日本語訳です。 Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect https://live.paloaltonetworks.com/t5/Management-Articles/Agentless-User-ID-Connection-to-Active-Directory-Servers/ta-p/52041     問題 エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー  モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。 Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for ＜ サーバー名＞   failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.   以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。   原因 エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。   以下の例が示すように [Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー（この例では172.30.30.15）接続するのに使用されます。   下記の例のとおり、ADサーバー（172.30.30.15）はユーザー cr7の権限を確認しています。   解決策 オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7に Server Operatorsを付与しています。 Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。 オプション2： 必要でなければ、サーバーセッションを読み取るためのオプション）を無効にします（[セッションの有効化]のチェックを外す）。   訳注：オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。   Best practices for securing User-ID deployments（原文） 安全な User-ID 展開のためのベスト プラクティス（上記文書の日本語訳）     著者: knarra

※この記事は以下の記事の日本語訳です。 How to Install and Configure Terminal Server Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-and-Configure-Terminal-Server-Agent/ta-p/53839     概要 ターミナル サーバー (TS) エージェントをインストールする前に、以下の要件を満たしていることを確認します： インストールするターミナル サーバー (TS) エージェントのバージョンの Release Notes に記載されている要件を確認します。 ターミナル サーバーの管理者が、TS エージェントをインストールする必要があります。TSエージェントは、他のリモート ユーザーによって操作されないように、管理者によってのみ起動するように設定する必要があります。 TS エージェンのために、必要なドライバーをインストールします。インストールには管理者権限が必要です。 TS エージェントがインストールされるコンピューターでは、Windowsファイアウォールを無効にする必要があります。   手順 インストール インストールされるTS エージェントは、オペレーティング システムと互換性があるかどうかを最初に確認します。オペレーティング システムに互換性がない場合、下記のようなエラー メッセージが表示されます： TS エージェントのインストール フォルダを指定します。 新規インストールのために、管理者はシステムを再起動する必要はありません。ただし再起動しない場合は、TS エージェントはインストール後に新たに生成されるTCP/UDP のトラフィックだけを識別することができます。インストール前に生成された TCP/UDP トラフィックについては、Palo Alto Networks TS エージェントはユーザーを識別することができません。 ターミナル サーバー上の TS エージェントの設定 メイン パネル TS エージェント コントローラーは、TS エージェントの設定と状態を確認するためのアプリケーションです。 メイン パネルには、TS エージェントに接続している各 PAN デバイスを確認できる "Connection List" と "Device Access Control List" が表示されます。初期状態では、"Device Access Control List" は無効になっています。このオプションを有効にすることで、TS エージェントに接続を許可する PAN デバイスを指定することができます。TS エージェントは、許可リスト内のデバイスからの接続のみを許可します。 設定パネル Listening Port： TS エージェントが Palo Alto Networks のデバイスと通信するポート Source port allocation range： ユーザーが利用できる "source ports" の範囲 Reserved Source Ports： ターミナル サーバー上で実行されている他のサービスが通信するために、"source port" の範囲から除外する必要のあるポート Port Allocation Start Size Per User： 新しいユーザーに割り当てられる最小ポート Port allocation Maximum Size Per User： 新しいユーザーに割り当てられる最大ポート Fail port binding when available ports are used up： ポート割り当て重複の防止 モニター パネル ナビゲーション ウィンドウのモニターでは、すべての現在のユーザーとポート割り当てを表示しています。"Ports Count" は、このユーザーが現在使用しているポートの数を表しています。"Ports Count" は、"Refresh Ports Count" をクリックすることで更新することができます。また、"Refresh Interval" のチェックボックスを選択することで、更新間隔を設定することもできます。 Palo Alto Networks デバイス上の TS エージェントの設定 Palo Alto Networks デバイスには、以下の情報を設定する必要があります： ホスト： TS エージェントがインストールされているサーバーの IP アドレス ポート： TS サーバー上で設定した " Listening Port" のポート番号 IPリスト (任意)： ターミナル サーバーが複数の送信元 IP アドレス (最大8個) を持っている場合の、ターミナル サーバーの送信元 IP リスト ファイアウォール上での変更を、コミットをクリックして反映させます。 トラブルシューティング時のヒント TS エージェントは、トラブルシューティングにとても役に立つログ ファイルを保持しています。TS エージェントに問題が起きた場合、ログ ファイルを収集し TAC サポート チームに送付します。ログ ファイルは、TS エージェントから、[ File ] > [ Show Logs ] と辿ることで見ることができます。 エージェントの詳細な情報を有効にするには、[ File ] > [ Debug ] 内で "Verbose" を選択します。この操作により、より詳細なメッセージがログに表示されます。   有益なCLIコマンド ターミナル サーバー エージェントを設定する： # set ts-agent <name> <options> where <options> include  ip-address   terminal server agent ip address port         terminal server agent listening port ip-list      terminal server alternative ip list   ターミナル サーバー エージェントの状態を表示する： > show user ts-agent statistics IP Address Port Vsys State Users ------------------------------------------------------------- 10.1.200.1  5009 vsys1 connected 8 10.16.3.249 5009 vsys1 connected 10   > show user ip-port-user-mapping all User IP-Address Vsys Port-Range ---------------------------------------------------------------------------- test1 10.1.200.1  vsys1 20000-20500 test2 10.1.200.1  vsys1 20500-21000                         21500-22000 test3 10.1.200.1  vsys1 21000-21500   TS エージェントは、特定のドメイン ユーザーのグループ情報を得るために、Palo Alto Networks User-ID エージェント、あるいはグループ マッピング データを調べる必要がある場合があります。   その他のCLIコマンド User-ID エージェントの "enable-user-identification" と "User Identification ACL" 設定コマンドは、TS エージェントに対しても適用されます。これは、User-ID の機能が有効である場合、User-ID エージェントと TS エージェントの機能が、どちらも有効になることを意味します。     著者：panagent

※この記事は以下の記事の日本語訳です。 How to Check Users in LDAP Groups https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Users-in-LDAP-Groups/ta-p/59028   概要 Palo Alto Networks デバイスはセキュリティ ポリシーを作成するためにユーザーとグループを必要に応じて利用することができます。LDAPグループ内のユーザーを確認して管理者はグループ メンバーシップに基づいたアクセス許可ポリシーを作成できます。   詳細 デバイス管理者はIPアドレスではなくユーザーに基づいたアクセスを提供するために LDAP グループを使用します。User-ID エージェントは IP アドレスとユーザーのマッピング情報および Palo Alto Networks ファイアウォールに対する接続性が必要となります。LDAPプロファイルに基づいて User-ID エージェントは LDAP サーバーからグループ情報を読み取ります。これらのマッピングはファイアウォールの IP-user-mapping テーブルに格納され、グループとグループのメンバーはグループ マッピング リストに保存されます。   手順 Palo Alto Networks ファイアウォールにて以下の手順を実行することで LDAP プロファイルからグループを検索します。 全てのグループリストは次のCLIコマンドを使用して読み取ることができます: > show user group list cn=sales,cn=users,dc=al,dc=com cn=it_development,cn=users,dc=al,dc=com cn=groùpé,cn=users,dc=al,dc=com cn=domain admins,cn=users,dc=il,dc=al,dc=com cn=domain guests,cn=users,dc=al,dc=com cn=it,cn=users,dc=al,dc=com cn=marketing,cn=users,dc=al,dc=com cn=it_operations,cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=il,dc=al,dc=com cn=hr,cn=users,dc=al,dc=com cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=vpn_users,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=al,dc=com 詳細なグループ情報を確認するためには以下のコマンドを実行します: > show user group name cn=it_operations,cn=users,dc=al,dc=com source type: service source:      AD_Group_Mapping_al.com [1     ] al\alex [2     ] al\biljanap [3     ] al\damem [4     ] al\ilija [5     ] al\ilijaal [6     ] al\ristok [7     ] al\jovan 注意: PAN-OS 6.0 以降では無効な AD ユーザーをリストに追加しません。 次の例では無効になっているADドメインユーザーの "alex" 示しています: LDAP プロファイル上のグループマッピングは次のコマンドでリセットすることができます: > debug user-id reset  group-mapping AD_Group_Mapping group mapping 'AD_Group_Mapping' in vsys1 is marked for reset. 以下のコマンドを実行したときに、該当ユーザーは出力に表示されていません: > show user group name cn=it_operations,cn=users,dc=al,dc=com short name:  al\it_operations source type: service source:      AD_Group_Mapping [1     ] al\biljanap [2     ] al\damem [3     ] al\ilija [4     ] al\ilijaal [5     ] al\ristok [6     ] al\jovan   著者 :  ialeksov  

※この記事は以下の記事の日本語訳です。 Best practices for securing User-ID deployments https://live.paloaltonetworks.com/t5/Learning-Articles/Best-practices-for-securing-User-ID-deployments/ta-p/61606   概要 User-ID サービスはユーザーに対してIP アドレスのマッピングを可能にし、有効にした場合はPalo Alto Networks 次世代ファイアウォールによってフィルタするときにネットワーク管理者にユーザー単位のきめ細かな制御を提供します。あらゆるネットワーク サービスを有効にする場合と同様に、次のベスト プラクティスと設定ガイドラインは User-ID の展開を行うときに潜在的なリスクへの露呈を減らしたり取り除くことを助けます。この記事はネットワークおよびセキュリティ管理者が設定ミスを避け、安全に User-ID サービスを有効にするのに役立つことを目的とします。   詳細 トラスト ゾーンのみで User-ID を有効にする 内部およびトラスト ゾーンでのみ User-ID を有効にすることにより、インターネット上へのこれらのサービスがさらされることなく、潜在的な攻撃から User-ID サービスの保護を維持することに役立ちます。もし User-ID と WMI プローブが外部のアントラスト ゾーン (インターネットなど) で有効にされていると、プローブは結果として User-ID エージェントのサービス アカウント名、ドメイン名、暗号化されたパスワード ハッシュの情報開示となりうる通信を保護されたネットワークの外部に送信することができます。この情報は保護されたリソースへの不正アクセスを得るために、攻撃者によってクラックや悪用に用いられる可能性があります。この重要な理由から User-ID はアントラスト ゾーンで有効にすべきではありません。   .   User-IDを設定する際の許可および除外ネットワークの指定について User-ID エージェントでは PAN ファイアウォール上のエージェントレス User-ID と同様に User-ID の範囲を限定するために許可および除外リストが利用可能です。一般的に自組織内で使用している IP アドレス空間の一部に管理者達は関心を持つだけです。 User-ID から含まれるか除外されるかを明示的にネットワークを指定することで、信頼されたものや会社保有の資産にのみプローブさせ、不要なマッピングが予期せず作成されないようにすることを、より確実にします。   .   ハイ セキュリティ ネットワークにおける WMI プロービングの無効化 Windows Management Instrumentation (WMI) は Windows 管理対象システムの IP とユーザーのマッピングを学習するためにアクティブ プローブを使用することができるメカニズムです。WMI プロービングはエンドポイントから信頼されたデータを受け取るため、ハイ セキュリティ ネットワーク内の User-ID 情報を取得するための推奨される方法ではなく、通常必須ではありません。固定されたワークステーションなど一般的なオフィス環境によくあるスタティック IP-User マッピングを含む環境では、動的な WMI プロービングは必要ありません。ローミングやその他のモバイル機器が移動することでIPアドレスが変動したときなどに、 Syslog 統合の User-ID やXML APIを利用することで、Windows 以外の機器からでも同様に IP とユーザーのマッピングを取得することで簡単に識別することができます。センシティブかつハイ セキュリティなネットワークでは、 WMI プロービングは全体的な攻撃面を増加させるので、管理者は WMI プロービングを無効にし、代わりにドメイン コントローラーのような、より単離され信頼できる送信元から取得したユーザーとIPのマッピング情報を利用することをお勧めします。User-ID マッピングを取得するためにAD セキュリティ イベント ログやsyslog メッセージ、またはXML API を解析するために User-ID エージェントを使用している場合は、WMI プロービングを無効にするべきです。キャプティブ ポータルはセキュリティ イベント ログが古くなった場合にユーザーの再認証のためにフォールバック メカニズムとして使用することができます。 WMI プロービングを使用している場合、WMI プロービングはネットワークの外に User-ID エージェントが使用するためのユーザー名、ドメイン名、パスワード ハッシュなどの機密情報を含んだサービス アカウント設定を送信するため、外部の信頼されないインターフェースでは有効にするべきではありません。この情報は潜在的にネットワークに侵入するための更なるアクセスを得ようとする攻撃者に悪用される可能性があります。   .   User-ID サービスのための必要最小限な権限を持った専用サービス アカウントを使用します User-ID の展開はサービスが正しく機能するための必要最小限の権限をのみを含むことで強固にすることができます。これは DCOM ユーザー、イベントログの読み取り、サーバー オペレーターが含まれます。User-ID サービス アカウントが攻撃者によって侵害された場合、管理者権限や他の不必要な権限を有していると機密データの破壊や盗難の付加的なリスクを企業が公開することになります。セキュリティ イベント ログの読み取りに必須ではないため、ドメイン管理者とエンタープライズ管理者の権限は付与されるべきではありません。   .   User-ID サービス アカウントに対する対話型ログオンを拒否する User-ID サービス アカウントはActive Directory のセキュリティ イベント ログを読み取り、解析するために特定の権限を必要としますが、それは対話的にサーバやドメイン システムへログインするための機能を必要としません。この権限は User-ID 用のグループ ポリシーや、管理サービス アカウントを使用することによって ( グループ ポリシーと管理サービス アカウントの設定についてより多くの情報を得るためにMicrosoft Technet をご参照ください。) User-ID サービス アカウントが不審なユーザーによって侵害された場合でも、対話的なログオンを拒否することによって潜在的な攻撃面は大幅に減少させることができます。   .   User-ID サービス アカウントに対するリモート アクセスを拒否する 一般的に、サービス アカウントはリモート アクセスの許可するために使用される全てのセキュリティ グループのメンバーであるべきではありません。これはUser-ID サービス アカウントの資格情報が侵害された場合、VPNを使用し外部からネットワークにアクセスしようとする攻撃者を防止することができます。   .   アウトバウンド インターフェース通信に出力フィルタリングを設定する 境界ファイアウォールに出力フィルタリングを実装することによって（潜在的に不要な User-ID エージェントのトラフィックを含む）不要なトラフィックが保護されたネットワークからインターネットへ送出されることを防ぎます。センシティブな環境では、信頼されたホワイトリストやビジネス アプリケーションを使用することで不要なトラフィックが許可される可能性を減少させ、またデータを抜き出すために使用可能なベクトルを減少させること役立ちます。   .   参照 User-IDのセットアップや 設定についての情報を得るためには以下を参照してください： PAN-OS 6.1 Web Interface Reference の User-ID セクション User-ID Best Practices - PAN-OS 5.0, 6.0 How to Configure Agentless User-ID  

※この記事は以下の記事の日本語訳です。 Troubleshooting Captive Portal Redirect Page Issues https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-Captive-Portal-Redirect-Page-Issues/ta-p/55360     キャプティブ ポータルが構築されていても、ブラウザで開くとリダイレクト ページが返ってこないことがあります。この問題が起きるのには様々な理由が考えられます。 この問題をトラブルシュートするためには、以下の項目を確認します: キャプティブ ポータル は、まだ特定されていない送信元のIPアドレスによってのみトリガーされます。 該当の送信元IPアドレスが、ユーザー名に紐付けられているかどうかを確認します。確認するためには、次のコマンドを実行します： > show user ip-user-mapping all Device > ユーザー ID >  キャプティブ ポータルの設定  に移動し、 キャプティブ ポータル が有効になっていることを確認します。 Network > ゾーン にて該当のゾーン名をクリックし、"ユーザー ID の有効化" が該当トラフィックの送信元ゾーンで有効になっていることを確認します。 リダイレクト ホスト用に設定されているホスト名、またはIPアドレスが、 キャプティブ ポータル を使うシステムから接続できることを確認します。ホスト名を使用している場合は、DNSの名前解決ができることを確認します。Telnet を使用し、ポート番号6082番でそのホスト名／IPアドレスに接続できることを確認します。接続エラーのない何も表示されていない画面が表示されていることを確認します。 Network > インターフェイス管理 に移動し、リダイレクト ホスト用に使われているインターフェースにおいて、"応答ページ" が有効になっている管理インターフェイス プロファイルが使われていることを確認します。 インターフェース管理プロファイルは以下の箇所で設定します。 "Network > インターフェイス > Ethernet > 管理プロファイル" キャプティブ ポータル のポリシーが、正しいサービスでトリガーされる設定になっていることを確認します。下記図は、"http"と"https"の両方の接続用に キャプティブ ポータル が設定されているところです： 注："https"用に キャプティブ ポータル をトリガーするためには、SSL復号化の設定がされている必要があります。     著者：jteetsel

※この記事は以下の記事の日本語訳です。 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory https://live.paloaltonetworks.com/t5/Threat-Articles/Addressed-Palo-Alto-Networks-Product-Security-Regarding-the-June/ta-p/59677     更新: 本文書に書かれた問題は既に対応済みです。 この問題は、PAN-OS 6.0.4, 5.1.9, 5.0.14にて対応済みです。これらのバージョン、もしくはそれ以降のバージョンにすることで問題は回避されます。   要約 Palo Alto Networks PAN-OS ソフトウェアは、特定の限られたケースにおいて、マン・イン・ザ・ミドル (MITM) 攻撃に繋がる脆弱性CVE-2014-0224の影響を受ける可能性があります。これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。なお、GlobalProtectは影響を受けません。   注: 2014年6月5日に報告されたOpenSSLの脆弱性のうち、その他6つのCVEに関しては、弊社のソフトウェア プラットフォームは影響を受けません。   詳細 Palo Alto Networksの製品セキュリティ エンジニア チームは2014年6月5日に報告されたOpenSSLの脆弱性が弊社の製品に影響を及ぼすかどうか解析を行いました。記載されている7つのCVEのうち、CVE-2014-0224のみが弊社のソフトウェアに関連していることがわかりました。残りのCVEに関しては、弊社のソフトウェアは DTLS (Datagram Transport Layer Security)、及びアノニマス ECDH (Elliptic curve Diffie-Hellman) を使わないため影響はありません。CVE-2014-0224による影響も限られています。何故なら、影響を受けるのはクライアントとサーバーが同時に脆弱である場合であるためです。PAN-OSはクライアントとしては影響を受けますが、サーバーとしては影響を受けません。結果、マン・イン・ザ・ミドル (MITM) 攻撃の影響を受ける可能性があるのは、脆弱性のあるOpenSSLバージョン(OpenSSL 1.0.1 and 1.0.2-beta1)を使っている外部のサーバーに弊社のソフトウェアが接続をしにいった際に作られるセッションのみに限られます。   お客様の設定によって、MITMに対して脆弱なサービスは様々です。例えば、脆弱なOpenSSLサーバーを動かしているプロキシをSSLを用いて使うファイアウォールのサービスであったり、脆弱なOpenSSLサーバーを動かしているsyslogサーバーへSSLでログ転送するサービスであったり、脆弱なOpenSSLサーバーを動かしているディレクトリ サーバーに接続に行くユーザーIDエージェントなどがあります。GlobalProtectポータルとゲートウェイは脆弱でないため、GlobalProtectは影響を受けません。   これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンのPAN-OS、ユーザーIDエージェント、GlobalProtectに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。お客様は、自身が運用するサーバーにおいて脆弱性のあるOpenSSLのバージョン(1.0.1 and 1.0.2-beta1)を使わないようにすることで、上記に書かれた問題を回避することができます。不明な点がありましたら、Palo Alto Networks サポートチームにお問い合わせ下さい。    OpenSSL アドバイザリ: https://www.openssl.org/news/secadv_20140605.txt  (英文)   著者: gwesson

※この記事は以下の記事の日本語訳です。 How to Configure Group Mapping Settings https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/ta-p/57258   概要 Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピング データはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループ マッピング設定方法を説明します。   手順 LDAP サーバー プロファイルを設定します。手順はこちらを参照してください。 How to Configure LDAP Server Profile Device > ユーザーID > グループ マッピング設定タブにて「追加」をクリックし、新しくグループ マッピング エントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。 名前を入力します。マルチ Virtual System を利用している場合、ドロップダウン リストの選択フォームが表示されます。 サーバー プロファイル タブのドロップダウン リストで、1. で作成した LDAP サーバー プロファイルを選択します。 注:すべての属性とオブジェクト クラスは、LDAP サーバー プロファイルで選択したディレクトリ タイプに基づいて値が入力されます。 デフォルトのユーザー グループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。 許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。 取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。 > show user group-mapping state all > show user group list > show user group name <group name>   著者: apasupulati  

※この記事は以下の記事の日本語訳です。 How to Force User Group Mapping Refresh https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Force-User-Group-Mapping-Refresh/ta-p/62597   パロアルトネットワークス ファイアウォールにて ユーザー グループ マッピングの更新（refresh）を強制的に行うには、CLIで以下のコマンドを実行します。 > debug user-id refresh group-mapping （グループ マッピング名、または"all"）   著者： shasnain

※この記事は以下の記事の日本語訳です。 Troubleshooting RADIUS Authentication https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-RADIUS-Authentication/ta-p/59200   訳注：本文書にはPAN-OS 4.1以前の情報を元にした、2016年7月現在サポートされるPAN-OSでは該当しない記述が含まれます。     グループのメンバーシップが正しいことを確かめます。 [Monitor]タブ > [ログ] > [システム] “user is not in allow list”がないか探してください。   これは該当のユーザーが選択されている認証プロファイルのグループにいないことを意味します。   CLIからは以下のコマンドで確認できます（訳注：現在サポートされるPAN-OSにはこのコマンドはありません）。 > show user pan-agent user-IDs   該当のユーザ名を"/"に次いでタイプしてサーチし、パロアルトネットワークスのデバイス上で、そのユーザーをどのグループに関連付けているか確認します。   上記のエラーに該当しない場合は、RADIUSサーバー側の可能性が考えられます。   よくあるサーバー関連の問題としては以下が有ります。 誤ったIPアドレスがRADIUSサーバーの設定に入力されている。 共有暗号鍵 (Shared Secret) のミスタイプ。シークレット フィールドにパスワードを貼付けしないでください。 誤ったIPアドレスがRADIUSサーバーのクライアント設定に入力されている。 RADIUSサーバーのポリシーが以下で不正となっている。 誤ったWindowsのグループ NAS-IP アドレス PAP   RADIUSサーバーのイベントは  [Event Viewer] > [System]ログ > IASで確認ができます。   Windows 2008 のEvert Viewerの Systemログ、 IAS表示例   誤ったIPアドレスがRADIUSサーバーの設定で使用されていた場合、以下のシステム ログの出力が確認できます。   CLIで以下のコマンドで"authd.log"（認証関連のログ）を確認できます。 > less mp-log authd.log   共有暗号鍵 (Shared Secret) が間違っている場合、同様のエラーがauthd.logに表示されます。RADIUSサーバー側でもエラーが確認でき、RADIUS server 2003では以下の様にEvent Viewerで表示されます。 誤ったIPアドレスがRADIUSサーバーのクライアント設定で使用されている場合、以下のエラーメッセージがEvent Viewerで確認できます。   不正なポリシーがRADIUSサーバーで設定されている場合、ファイアウォールではシステム ログのエントリーは先の事例と同様になりますが、authd.logの表示は異なったものとなります。    誤ったWindowsグループ、誤ったNAS-IPアドレス、あるいはPAP認証が設定されていない場合、RADIUSサーバー上のEvent Viewerでは以下のエラーが表示されます。   RADIUS認証が成功した場合   > [Monitor]タブ > [ログ] > [システム]   > less mp-log authd.log   著者：bnitz

日々変化するサイバー脅威のトレンドと、それに対抗する弊社セキュリティプラットフォームを使った多層化防御アプローチに関する資料となります。

※この記事は以下の記事の日本語訳です。 How to Install the Palo Alto Networks User-ID Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-the-Palo-Alto-Networks-User-ID-Agent/ta-p/52863   UserID Agentをインストールする前に以下の項目を確認します: UserIDをインストールするPC: OSはWindows XP, Windows 7, Windows 8,  Windows Server 2003/2008/2012 ドメインコントローラーとPAの管理ポートへネットワーク通信確認ができている。 ADドメインのメンバーである。 UserID Agentからドメインのクエリに使用するユーザーアカウントを決めます。このユーザーはドメインコントローラーのSecurity Logsをアクセスできる権限がある必要があります。Domain Adminユーザーグループはこの権限がありますが、この権限を追加したユーザーグループを作成することもできます。 どのドメイン（又は該当するドメインコントローラー）をクエリするか決めます。一つのドメインにつき一つのUserID Agentが必要で、最大64000のユーザーを扱うことができます。 UserID Agentのインストールと設定 UserID Agentをインストールするドメイン内のPC を選択します。 https://support.paloaltonetworks.com から最新バージョンのUserID Agentをダウンロードし、インストールします。 デフォルトでUserID Agentのサービスはlocal account を使って実行してるので、ドメインコントローラーのsecurity logsにアクセス権限があるユーザーに変えます。サーバー上でadmin tools > service > pan agent > log on > switch from local user to this accountで ユーザーを設定します。 PAN agentサービスをリスタートします。 サーバー上でStart > Programs > Palo Alto Networks > User Identificationを実行し、Agent GUIの右上にあるConfigureをクリックします。   項目を記入します: Domain name – ドメインのFQDN Port Number – インストールする端末で、現在使われていないポート番号を選びます。 サーバー上のFirewallでポートをBlockしていないことを確認します。 Domain controllers ip address – ドメインコントローラーのIP Address。 最大でアドレス１０個。 Allow list – Trackするユーザーが存在するサブネット。 Ignore list – ターミナルサーバーやTrackしたくないPCのIP Address。 netbios が使用できないネットワークの場合, disable netbios probingを選択します。 OKをクリックします。 GUIの左上にAgentのステータスを確認できます。 ステータスの例: Connection failed.（通信が失敗しました） Please start the PAN agent service first.（PAN agent serviceを起動して下さい） Reading domain name\enterprise admins membership.（ドメイン名\Adminメンバーシップ読み込み中） No errors.（エラー無し） UserID Agentがステップ６で設定したポートを使用している確認はCommand Promptで以下のコマンドを使用します: netstat -an | find "xxxx"   Palo Alto Networks FirewallからUserID Agentへの通信の設定 Palo Alto Networks Firewall にログインし、Device > User Identificationへ行きます. UserID AgentのName（名前）, Host (IP address) と Port（ポート番号）を設定します。 ゾーン単位でUserIDを有効にします。Zone propertiesページの左下に Enable user identificationにチェックがあることを確認します。 設定変更をcommitします。 UserID Agentへの通信の確認はPAのCLIでshow pan-agent statisticsを使います。state connected,と表示されればOKです。 現在ドメインPCにログインされているユーザーの表示はCLIで: debug dataplane show user allを使います。 テスト確認 設定が正常に動作していることを確認するためには、新しいセキュリティールールを作成し、グループ情報、ユーザー情報が参照できることを確認します。

※この記事は以下の記事の日本語訳です。 How to Configure Active Directory Server Profile for Group Mapping and Authentication https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Active-Directory-Server-Profile-for-Group/ta-p/58089   概要 Palo Alto NetworksはLDAPブラウザーを使って、正確なLDAP情報を確認することを推奨します。   正確なバインド情報の見つけ方 バインドDNを検索するには、AD サーバーのコマンド ラインにて、以下のコマンド（例：ユーザー名 test1）実行します。 dsquery user -name test1 以下の例ではバインドDN "CN=test1, OU=outest2, OU=outest, DC=pantac2, DC=org" が返答されます。   または、バインドDNを検索するためにLDAPブラウザを使用することもできます。   ベースDNはLDAPディレクトリー構造で、PANがユーザー情報を検索する起点です。 バインドDNで使用するユーザーは、認証のために情報を検索するために使用するものです。   注意 : アクティブ ディレクトリー（AD）では空白のフォルダー アイコンはコンテナ (CN) 、通常のフォルダーは組織(OU)を表します。     この例では、adminアカウントがUsersコンテナにある場合、バインドDN情報はcn=admin,cn=users,dc=pantac2,dc=orgとなります。   次の例ではtest1アカウントがOUtest2組織ユニット(OU)に存在します。そしてOUtest2はOUtestの中にいます。   LDAP設定 Device > Server Profile> LDAP   上記の例ではアクティブ ディレクトリー（AD）の接続にSSL暗号化は使用されません。TCP ポート389はLDAP接続で非暗号化接続の標準ポートです。以下は、TCP ポート636（SSL暗号化）設定例です。   LDAP情報 Domain: paloalto (NETBIOS名かWindows 2000以前のドメイン名です。詳しくは What Should be Configured as Domain in an LDAP Profile? をご参照ください) Type: active-directory Base DN: DC=paloalto, DC=com Bind DN: CN=PAadmin, OU=Users, DC=paloalto, DC=com   グループ マッピング プロファイル設定 Device > User Identification> Group Mapping Settings: 許可リストのグループ化タブをクリックします。 左パネルにあるBase情報左の”+”をクリックすると、検索をかけたいグループ情報一覧が表示されます。 グループ リストから、ファイアウォール上のポリシーで使用したい"cn="で始まるグループを選択し、画面中央の”+”で右側の含まれたグループに追加します。 注意！含まれた グループに何も選択しない場合、アクティブ ディレクトリー（AD）上のすべてのグループがけ検索対象になり、負荷をかける原因になることがあります。 コミットを実行します。 CLIでLDAP serverとの接続を確認するコマンドは以下になります。 > show user group name all   LDAP認証の設定 Device > 認証プロファイル 認証 プロファイルで、クエリ検索をかけたいグループを追加します。 このプロファイルは、Captive Portal、Global Protect、ユーザー ログイン、その他ファイアウォールで使用する認証で使用することができます。 許可リストのグループが異なる場合は、別の認証プロファイルを作成し違う目的で使用することができます。

※この記事は以下の記事の日本語訳です。 User-ID Agent Setup Tips https://live.paloaltonetworks.com/t5/Configuration-Articles/User-ID-Agent-Setup-Tips/ta-p/54755   User-IDエージェントの要件: 問い合わせ対象のドメインに所属するWindows 2008/2003 Server上で動作させること。User-IDエージェントはADサーバー上で直接動作させられますが、この構成は推奨しておりません。 該当サービスは、User-IDエージェントサーバーに対しローカル管理者権限を持つドメインアカウントとして起動する必要があります。 該当サービスアカウントはセキュリティログを読める権限が必要です。Windows 2008またはそれ以降のドメインでは、“Event Log Readers”の作成済みのグループが有り、エージェントに適用するのに十分な権限が有ります。それ以前のWindowsバージョンでは、該当アカウントにグループポリシーから “Audit and manage security log”権限を付与しなければなりません。アガウントをDomain Administratorsグループのメンバーにすることで、すべての操作に必要な権限が付与できます。 WMIプローブを使用する場合、該当サービスアカウントはクライアントワークステーションの CIMV2名前空間を読む権限が必要です。Domain adminはデフォルトでこの権限を持ちます。 1つのUser-IDエージェントのみ使用する場合、すべてのドメインコントローラーがDiscoveryのリストに含まれていることを確認してください。 ドメインコントローラー(DC)は “successful login”の情報をログに記録していなければなりません。   User-IDエージェントはドメインコントローラの以下のイベントを監視します。 Windows 2003 672 (Authentication Ticket Granted, which occurs on the logon moment), 673 (Service Ticket Granted) 674 (Ticket Granted Renewed which may happen several times during the logon session) Windows 2008 4768 (Authentication Ticket Granted) 4769 (Service Ticket Granted) 4770 (Ticket Granted Renewed) 4624 (Logon Success) アカウントのログオンについて、DCはイベントID 672を認証チケット要求の最初のログオンとして記録します。 関連するログオフのイベントは記録されません。 NetBIOSプローブが有効な場合、監視対象サーバーのファイルサービスやプリントサービスへの接続もエージェントは読み込みます。これらの接続はユーザーとIPのマッピング情報の更新に使用されます。常に新しいイベントが古いイベントによるマッピングを上書きします。 WMIプローブが有効な場合、プローブの間隔はワークステーションの数量を考慮の上、合理的な値となっていることを確認してください。例えば、5000のプローブ対象のホストがある場合、プローブ間隔を10分には設定しないでください。これらの設定はUser-IDエージェント上の User Identification > Setup > [Edit]ボタン > Client Probingにあります。   ワークステーションがローカルでファイアウォール機能を動作させていたり、ドメインのメンバーでない場合など、WMIプローブが失敗するケースが有ります。その場合、該当ワークステーションが起動していて通信を行っていたとしても、キャッシュがタイムアウトすると該当するマッピングは削除されます。確認するにはUser-IDエージェントにて下記のコマンドを実行します。 wmic /node:workstationIPaddress computersystem get username これにより該当するコンピューターに現在ログインしているユーザーが確認できます。 もしワークステーションがWMIプローブに応答しているか確信が持てない場合、マッピングはユーザーのログインによって行われることを考慮し、User-IDキャッシュのタイムアウトを大きめに設定するようにします。この場合、最初のログインイベントからキャッシュのタイムアウト値を超過すると、マッピングはユーサーがログインしていても消去されます。この設定は User-IDエージェント上の User Identification > Setup > [Edit]ボタン > Cacheにあります。   ドメインコントローラーがモニター対象のサーバーの一覧にあることを確認してください。どのドメインコントローラもユーザーの認証が可能なため、もし一覧にないものがある場合、すべてのユーザーとIPのマッピングができていないことになります。 ドメインコントローラー上で下記のコマンドを実施して、ドメインコントローラーの一覧が正確であることを確認してください。 dsquery server –o rdn   (DCの一覧を表示します). 既に存在しないDCが一覧にあった場合は、削除してください。 User-IDがトラフィックの送信元となるゾーンで有効になっていることを確認してください。この設定はNetwork > ゾーンにあります。   ファイアウォールにて有用なコマンド エージェントと接続の統計情報のステータス show user user-id-agent state all IPマッピングの表示 show user ip-user-mapping all 特定のIPマッピングと所属グループを含む詳細情報の表示 show user ip-user-mapping ip IPaddress ファイアウォール上にて解析しているグループの表示 show user group list ファイアウォール上にあるグループのメンバーの表示 show user group name “group name”  （DN表記） グループマッピングの削除と再構築 debug user-id clear group “group name” debug user-id refresh group-mapping all   参考 Getting Started: User-ID（英文） How to Configure Agentless User-ID（英文）       著者：jteetsel