Skip to main content

How to configure Agentless User ID

Rovshan Rajabli
Updated

Environment

  • Palo Alto Firewall
  • PAN-OS 10.0.x and above
  • Windows Server 2003, 2006, 2009.
  • Windows Server 2022 ( still supported )

Работа Agentless User-ID на Windows Server 2022 в некоторых случаях может отрабатывать так же как в документации по Windows Server 2003,2006,2009, но мы на данное время не рекомендуем использовать Agentless User ID с Windows Server 2022.

По функциям связанных с Windows Server 2022 нет никаких документаций.

Эта документация действительна до тех пор, пока на Windows Server не загружены последние обновления безопасности системы, так как с последними обновлениями Windows Server вышли ограничения по использованию WMI протоколов.

Если же у вас установлены обновления политики безопасности на Windows Server , в следующей документации будет показана настройка WINRM-HTTP и WINRM-HTTPS.

 

В отличие от Windows Based USER ID agent , нам не требуется отдельная виртуальная машина. Чтобы настроить Agentless User-ID, сначала создайте учетную запись службы, затем измените и проверьте параметры безопасности.

 

Настройте следующее на сервере Active Directory (AD) и устройстве Palo Alto Networks:
 

Шаг 1. Создайте учетную запись службы в AD, которая используется на устройстве. Убедитесь, что пользователь входит в следующие группы:

 

  • - Distributed COM Users
  •  -Domain Users
  • - Event Log Readers
  • - Server Operators

Примечание: Привилегии администратора домена не требуются для правильной работы учетной записи службы User-ID, более подробная информация приведена в разделе Best Practices for Securing User-ID Deployments.

В Windows 2003 учетная запись службы должна получить право пользователя Audit and manage security log с помощью групповой политики. Если сделать эту учетную запись членом группы администраторов домена, то она получит права на все операции. Встроенная группа Event Log Readers недоступна в Windows 2003, но она доступна в Windows 2016\2019.

 

 

 

1.1.  Устройство использует аутентификацию WMI, и пользователь должен изменить свойства безопасности CIMV2 на сервере AD, который подключается к устройству.

Шаг 2. Вносим конфигурационные изменения в Console Root

2.1. Запустите 'wmimgmt.msc' в командной строке AD, чтобы открыть консоль и выбрать эти свойства:

 

2.2. На вкладке Security->Properties переходим в управления WMI:

  • Выберите папку CIMV2.
  • Нажмите Properties
  • Нажмите Добавить, а затем выберите учетную запись службы из шага 1.
  • В данном случае это ldap
  • Для этой учетной записи установите флажки Remote Unable, Read Security и Edit Security
  • Применяем изменённые настройки
  • Затем нажмите OK.

 

Шаг 3. После внесённых изменений CIMV2, далее мы переходим на GUI нашего фаервола.

3.1 Открыв Palo Alto WebGUI, выберите Device > User Identification > User Mapping, затем нажмите на шестерёнку ( ) редактирования в правом верхнем углу, чтобы завершить настройку агента идентификатора пользователя Palo Alto Networks.

3.2 Обязательно настройте формат domain\username для имени пользователя на вкладке WMI Authentication вместе с действительными учетными данными для этого пользователя.

3.3 Включите опции Server Monitor и включите журнал безопасности/включите сеанс соответственно.

Примечание: Client Probing включено по умолчанию, поэтому при желании отключите его.

3.4. Если домен настроен во время установки в поле General settings/Domain, пользователь может выбрать обнаружение серверов, с которыми можно установить соединение.

Если нет, вручную добавьте сервер к устройству:

Шаг 4. Далее будут показаны полезные команды и CLI выводы, по которым мы сможем проверять правильность нашей конфигурации.

4.1. Подтвердите подключение через CLI:

> show user server-monitor statistics 

Directory Servers:  
Name       TYPE     Host          Vsys    Status 

___________________________________________________         
ldap        AD    10.0.0.5        vsys1  Connected

___________________________________________________

 

4.2 Убедитесь что в статусе Server Monitoring -“Connected”

Вы можете проверить это перейдя по вкладкам :

Device -> User Mapping -> Server monitoring в GUI NGFW.

4.3. Прописав ниже указанную команду в CLI фаервола можно увидеть, что "ip-user-mapping" работает. 

> show user ip-user-mapping all

IP                Vsys   From        User            IdleTimeout(s)  MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- ----------
192.168.28.15    vsys1    AD      domain\user           2576             2541
192.168.29.106   vsys1    AD      domain\ldap           2660             2624
192.168.29.110   vsys1    AD      domain\ldap           2675             2638
Total: 3 users    

Шаг 5. Убедитесь, что включение идентификации пользователя включено в зонах, где будет инициирован идентифицируемый трафик. Выберите зону в Network > Zone.

 

При возникновении каких либо трудностей вы можете обратиться к нам https://panwsupport.bakotech.com  и мы рады будем вам помочь в решении вашей проблемы.

 

Best Regards, Bakotech Team. Thank you for choosing us.

Related articles

Comments

0 comments

Please sign in to leave a comment.

Powered by Zendesk