[Palo Alto]Hướng dẫn Cấu hình và Xác minh trình thu thập ID người dùng (User-ID Collector)

Thảo luận trong 'Firewall Khác' bắt đầu bởi vuthang, 9/3/22.

Tags:
  1. vuthang

    vuthang Member

    TỔNG QUAN:
    - Tường lửa của Palo Alto có thể được cấu hình để thu thập và phân phối lại thông tin người dùng tới các thiết bị Firewall Palo Alto khác trong mạng. Tài liệ này mô tả cách cấu hình một tường lửa phân phối và kiểm tra cấu hình từ giao diện CLI.
    !Lưu ý:
    • Chỉ người dùng gắn thông tin được thu thập trực tiếp bởi tính năng User-ID (PAN-OS User Mapping) sẽ được phân phối tới các firewall khác.
    • Nếu có nhiều firewall cần phải kéo ánh xạ từ bộ thu thập, tất cả chúng phải chỉ định tên bộ thu thập trong phần đại diện user-id.
    BƯỚC THỰC HIỆN:
    1. Trong giao diện GUI của Firewall Palo Alto, chuyển hướng đến Device > User Identification.

    2. Trong tab User Mapping, click biểu tượng Edit.
    [​IMG]

    3. Cấu hình bộ thu thập trong tab Redistribution bằng cách nhập tên của bộ thu thập trong Collector NamePre-Shared Key. Thông tin này được sử dụng bởi các tường lửa sẽ kéo về thông tin đang gán người dùng.
    [​IMG]

    5. Đảm bảo dịch vụ User-ID được bật trên hồ sơ Management Interface.

    6. Đi đến Network > Network Profiles > Interface Mgmt.

    7. Mở profile được áp dụng vào interface riêng biệt hoặc thêm profile mới.

    8. Tick chọn User-ID Service trong profile.
    !Lưu ý: Nếu bạn đang sử dụng cổng Dataplane, cấu hình thêm dịch vụ định tuyến cho interface đó trên phần UID Agent.
    [​IMG]
    9. Click Commit. Hoàn tất bước cấu hình của bộ thu thập trên thiết bị Firewall.

    CẤU HÌNH TƯỜNG LỬA PALO ALTO ĐỂ LẤY IP-USER ĐANG LẤY TỪ BỘ THU THẬP:
    1. Đi tới tab User-ID Agents trong Device > User Identification.

    2. Click Add và nhập giá trị vào trong các ô. Collector NamePre-Shared Key phải giống với firewall thu thập.
    [​IMG]
    3. Tường lửa sẽ kết nối tới bộ thu thập ở port 5007. Cổng dịch vụ này không thể thay đổi được.

    4. Click Commit. Thông tin về User đươc lấy từ Bộ thu thập sẽ xuất hiện trên Firewall.

    KIỂM TRA:
    - Các lệnh CLI dưới đây có thể được sử dụng để kiểm tra lại dịch vụ thu thập và người dùng đang gán thông tin được nhận trên cácTường lửa Palo Alto khác.

    1. Trên thiết bị thu thập, hiển thị trạng thái của dịch vụ User-ID:
    > show user user-id-service status
    [​IMG]
    2. Hiển thị Client/Firewall được kết nối tới:
    > show user user-id-service client all
    [​IMG]
    3. Hiển thị IP-user đang ánh xạ trên bộ thu thập:
    > show user ip-user-mapping all
    [​IMG]

    4. Trên Firewall nhận thông tin từ bộ thu thập, hiện thị IP-user đang ánh xạ:
    > show user ip--user-mapping all
    [​IMG]

    ---o0o---
     
    vuthang, 9/3/22
    #1

trang này