Environment
- Palo Alto Firewall
- PAN-OS 10.0.x and above
- Windows Server 2003, 2006, 2009. 2022
В отличие от Agentless USER ID, нам требуется отдельная виртуальная машина. Точнее, агент мы можем устанавливать как на наш Domain Controller, так и на отдельную виртуальную машину. В нашем случае, мы установим на Domain Controller. Чтобы настроить Windows Based User-ID, сначала создайте учетную запись службы, затем измените и проверьте параметры безопасности.
Настройте следующее на сервере Active Directory (AD) и устройстве Palo Alto Networks:
Шаг 1. Создайте учетную запись службы в AD, которая используется на устройстве. Убедитесь, что пользователь входит в следующие группы:
- - Distributed COM Users
- -Domain Users
- - Event Log Readers
- - Server Operators
Примечание: Привилегии администратора домена не требуются для правильной работы учетной записи службы User-ID, более подробная информация приведена в разделе Best Practices for Securing User-ID Deployments.
1.1 В Windows 2003 учетная запись службы должна получить право пользователя “Audit and manage security log” с помощью групповой политики. Если сделать эту учетную запись членом группы администраторов домена, то она получит права на все операции. Встроенная группа “Event Log Readers” недоступна в Windows 2003, но она доступна в Windows 2016\2019.
1.2 После того, как мы создали пользователя, мы скачиваем агент с официального сайта (Customer Support Portal): CSP->Updates->Software Updates->
Загружаем актуальную версию User ID агента на DC
Шаг 2. Вносим конфигурационные изменения в User ID агенте после установки.
При первом запуске через администратора Server Logon Account будет по умолчанию Administrator.
2.1 Мы его меняем на пользователя, которого создавали выше:
Вводим username\password и сохраняем изменения.
Главное, мы перейдя на DC(Domain Controller) во вкладку Service, мы находим процесс User ID.
Убедитесь, что там выставлен тот же пользователь, которого мы ввели в Setup-е нашего агента
Шаг 3. Конфигурация в фаерволе.
3.1 Перейдя по Setup->Services->Service Route-Customize указываем интерфейс, внутренний для User ID агента.
В моём случае внутренний интерфейс имеет вышеуказанные параметры.
3.1 Только после этого мы переходим:
Device->Data Redistribution->Agents->Add
Мы добавляем нашего агента:
В Host мы указываем IP нашего DC. Если мы устанавливали бы на отдельной виртуальной машине, в этой строке был бы IP адресс этой виртуальной машины.
Port по умолчанию 5007.
Data Type выбираем всё как показано на скриншоте для успешного Ip to User mapping.
Шаг 5. Убедитесь, что включение идентификации пользователя включено в зонах, где будет инициирован идентифицируемый трафик. Выберите зону в Network > Zone.
Шаг 5. Проверяем работу USER id агента.
После того, как все настройки сохранены, мы должны будем видеть наш агент в статусе Connected.
Пару полезных команд для проверки функциональности User ID агента :
admin@Active-VM> show user user-id-agent state all
admin@Active-VM> show user user-id-agent state all
Agent: ldap(vsys: vsys1) Host: 10.0.0.5(10.0.0.5):5007
Status : conn:idle
Version : 0x5
SSL config : Default certificates
num of connection tried : 1
num of connection succeeded : 1
num of connection failed : 0
num of status msgs rcvd : 85722
num of request of status msgs sent : 85722
При возникновении каких либо трудностей вы можете обратиться к нам https://panwsupport.bakotech.com и мы рады будем вам помочь в решении вашей проблемы.
Best Regards, Bakotech Team. Thank you for choosing us.
Comments
0 comments
Please sign in to leave a comment.