Agentless User- ID 設定ガイド Windows Server 2003 編 May 27, 2014 (Rev. B) パロアルトネットワークス合同会社
はじめに 本資料料は PAN- OS 5.0 から統合された User ID Agent 機能 (Agentless) を利利 用し Windows Server 2003 が稼働している Active Directory 環境での基本的な設定 方法を記載しています また 本資料料で 行行う Agent 用のアカウントは管理理者権限ではなく 新たにグループを作成して権限を与えています 2 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - Agent 用グループの作成 1 1. セキュリティログ閲覧権限を持つグループを作成 Agent 用アカウントに対してセキュリティログの読み取り権限を与える場合 管理理者権限を持つグループ (Domain Admins) を与えるのが 一般的です 管理理者権限を与えることができないといった場合には 新たにグループを作成して権限を与えます この例例では SecurityLogReaders というグループを作成しています スタート > すべてのプログラム > 管理理ツール > Active Directory ユーザとコンピュータ > 指定ドメイン > Users > 右クリックして新規作成 > グループ > グループ名 SecurityLogReades 3 2012, Palo Alto Networks. Confidential and Proprietary. 3 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - Agent 用グループの作成 2 2. SecurityLogReadesrs グループの SID 調査 作成したグループに対し権限を与える際 グループ名に割り当てられている SID をルールとして記述します SID を調べる前にグループ名から DN を調べます 得られた DN を dsget コマンドの引数に 入 力力することで SID を取得することができます ドメインコントローラ上のコマンドプロンプトから下記コマンドを実 行行します SecurityLogReaders グループの DN を調べる C:\>dsquery group - name SecurityLogReaders "CN=SecurityLogReaders,CN=Users,DC=hogehoge,DC=local SecurityLogReaders グループの SID を調べる C:\>dsget group "CN=SecurityLogReaders,CN=Users,DC=hogehoge,DC=local" - sid sid S- 1-5- 21-3173910810- 2265679593-2667926107- 1107 この値は環境毎に異異なります dsget 成功 4 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - グループポリシーの変更更 1 3. sceregvl.inf ファイルのバックアップ セキュリティログの読み取り権限をグループポリシーで付与する為に sceregvl.inf ファイルを編集する必要がありますが 編集ミスに備えファイルを適当なフォルダにバックアップしておきます sceregvl.inf ファイルの場所 C:\WINDOWS\inf sceregvl.inf 4. sceregvl.inf ファイルの編集 sceregvl.inf ファイルに設定を追記してファイルを上書き保存します [Strings] セクションの上 方 MACHINE\Software\ ~のブロック 一番下に下記を追記 MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2 最終 行行に下記を追記 SecCustomSD="Event log: Specify the security of the Security log in Security Descriptor Definition Language (SDDL) syntax 5 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - グループポリシーの変更更 2 5. 編集した sceregvl.inf の反映 スタート > ファイル名を指定して実 行行 > regsvr32 scecli.dll と 入 力力 > scecli.dll の DLLRegisterServer は成功しました のダイアログ > OK 6 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - グループポリシーの変更更 3 6. グループポリシーに SDDL 文字列列を 入 力力 グループポリシーを選択してルール (SDDL 文字列列 ) を設定しますが 環境に応じたグループポリシーに設定して下さい ここの例例では Default Domain Policy に設定しています スタート > すべてのプログラム > 管理理ツール > ドメインセキュリティポリシー > Windows の設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプション > Event log: Specify the security of the Security log in Security Descriptor Definition Language (SDDL) syntax を選択 右クリックプロパティ > このポリシーの設定を定義する のチェックボックスを有効化 > 空欄に下記 ServerLogReaders の SID を組み合わせた SDDL を 入 力力 > OK (A;;0x1;;;S- 1-5- 21-3173910810- 2265679593-2667926107- 1107) 上記 SDDL は A= 許可 0x1= 読み取り S- 1 ~ =SecurityLogReaders グループの SID という意味になります
Windows Server 2003 の設定 - グループポリシーの変更更 4 7. SecurityLogReaders グループから WMI の許可 スタート > ファイル名を指定して実 行行 > wmimgmt.msc と 入 力力 > OK > WMI コントロールを右クリックしてプロパティを表 示 > セキュリティタブ > Root > CIMV2 を選択 > 右下のセキュリティボタンをクリック > 追加 > SecurityLogReaders を追加 > アカウントの有効化とリモートの有効化のチェックボックスを有効 > OK 8 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - グループポリシーの変更更 5 8. gpupdate コマンドの実 行行 編集したグループポリシーを反映するため コマンドプロンプトから下記コマンドを実 行行します C:\>gpupdate /force 9 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - Agent 用ユーザーの作成 1 9. Agent 用ユーザーアカウントを作成 PA 上で動作する Agent 機能はこのアカウントを使 用してドメインコントローラにログオンすることになります スタート > すべてのプログラム > 管理理ツール > Active Directory ユーザとコンピュータ > 指定ドメイン > Users を右クリックして新規作成 > ユーザー > ユーザ名 uia > 次へ > パスワード 入 力力 > 完了了 10 2014, Palo Alto Networks. Confidential and Proprietary.
Windows Server 2003 の設定 - Agent 用ユーザーの作成 2 10. uia ユーザをグループに登録 作成されたユーザを下記 4 つのグループに登録します スタート > すべてのプログラム > 管理理ツール > Active Directory ユーザとコンピュータ > 指定ドメイン > Users > uia を選択して右クリック > 所属するグループ > 追加 Distributed COM Users Domain Users( デフォルトで登録済み ) SecurityLogReaders Server Operators 11 2014, Palo Alto Networks. Confidential and Proprietary.
PA の設定 - User ID の有効化 11. ゾーンでの User ID 設定有効化 ユーザ識識別を 行行うゾーンで設定を有効化します WebUI から Network タブ > ゾーン > User ID を利利 用するゾーンを選択 > ユーザ ID の有効化 チェックボックスを有効 > OK 12 2014, Palo Alto Networks. Confidential and Proprietary.
PA の設定 - ユーザーマッピング設定 1 12. Palo Alto Networks ユーザー ID エージェント設定 WebUI から Device > ユーザー ID > ユーザーマッピング > Palo Alto Networks ユーザー IDエージェント設定右端のアイコンをクリック > WMI 認証タブ > ユーザ名とパスワードを 入 力力 > OK ユーザー名は ドメイン名 \ ユーザ名 のルールで 入 力力します 例例 )hogehoge.local\uia 13 2014, Palo Alto Networks. Confidential and Proprietary.
PA の設定 - ユーザーマッピング設定 2 13. サーバーモニタリング設定 WebUI から Device > ユーザー ID > ユーザーマッピング > サーバーモニタリング > 追加 > 下記パラーメータを 入 力力 > OK > 画 面左上の Commit ボタンで設定を反映 名前: サーバーの名前 ( 適当な名前 ) 内容: サーバーの説明 ( オプション ) チェックボックス: 有効化チェックボックス ON タイプ:Microsoft Active Directory ネットワークアドレス:DC の IP アドレス 14 2014, Palo Alto Networks. Confidential and Proprietary.
ユーザーマッピングの状態確認 1 14. ドメインコントローラとのコネクティビティの確認 WebUI から Device > ユーザー ID > ユーザーマッピング > サーバーモニタリング > 状態が Connected となっていればドメインコントローラと正常に接続ができています 15 2014, Palo Alto Networks. Confidential and Proprietary.
ユーザーマッピングの状態確認 2 15. ユーザマッピングテーブルの確認 CLI から show user ip- user- mapping all コマンドでマッピングテーブルを確認できます admin@pa- 200> show user ip- user- mapping all IP Vsys From User IdleTimeout(s) MaxTimeout(s) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 10.128.63.7 vsys1 AD hogehoge.local\user1 2645 2645 Total: 1 users 16. トラフィックログの確認 WebUI から Monitor > ログ > トラフィックでは下記のようにユーザがログに記録されます hogehoge.local というドメインの user1 というユーザ 16 2014, Palo Alto Networks. Confidential and Proprietary.
PA の設定 - 送信元ユーザー単位での制御 17. 送信元ユーザーを指定したポリシー設定 WebUI から Policies > セキュリティ > 追加 > ユーザー > 追加で送信元ユーザーを 手動で記述することにより ユーザー単位での通信制御が可能になります
PA の設定 - グループマッピング設定 1 18. LDAP サーバープロファイル設定 前項までの設定でユーザ単位での制御やログにユーザ名を記録することが可能になりますが セキュリティポリシーの設定項 目でグループ単位でポリシーを記述したり ユーザ名を検索索してリスト表 示させたい場合 グループマッピングの設定を 行行います 設定を 行行う場合は最初に LDAP サーバプロファイルを作成します WebUI から Device > サーバープロファイル >LDAP > 追加 > 下記パラメータを 入 力力 > 下記項 目を 入 力力 > OK 名前 : プロファイルの名前 ( 適当な名前 ) サーバー : サーバーの名前 ( 適当な名前 ) アドレス :DC の IP アドレス ポート :LDAP=389, LDAPS=636 タイプ :active- directory ベース : グループ情報を検索索する時のルートコンテキスト バインド DN:Agent 用アカウントのログイン名 パスワード :Agent 用アカウントのパスワード SSL:LDAPS を使う場合はチェックボックスを有効 hogehoge.local の場合は DC=hogehoge,DC=local と記述 hogehoge.local の Users コンテナに存在する uia というユーザの場合は cn=uia,cn=users,dc=hogehoge,dc=local と記述
PA の設定 - グループマッピング設定 2 19. グループマッピング設定 - サーバープロファイル 作成した LDAP サーバプロファイルをグループマッピング設定で指定します WebUI から Device > ユーザ ID > グループマッピング設定 > 追加 > サーバープロファイル > 下記項 目を 入 力力 > OK 名前 : グループマッピング設定の名前 ( 適当な名前 ) サーバープロファイル : 作成した LDAP プロファイルを指定 Group Objects オブジェクトクラス :group グループ名 :name グループメンバー :member User Objects オブジェクトクラス :person ユーザ名 :samaccountname 有効 : チェックボックスを有効化
PA の設定 - グループマッピング設定 3 20. グループマッピング設定 - 許可リストのグループ化 グループマッピングする必要最 小限のグループを指定します 指定しない場合は全てのグループに対してマッピングが 行行われます WebUI から Device > ユーザ ID > 作成したグループマッピング設定を選択 > 許可リストのグループ化 >グループを追加 >OK > 画 面左上の Commit ボタンで設定を反映
グループマッピングの状態確認 1 21. グループマッピングの状態確認 CLI から show user group- mapping state all コマンドでグループマッピングの状態やグループ情報を確認できます admin@pa- 200> show user group- mapping state all Group Mapping(vsys1, type: active- directory): DC_ Group_ Mapping Bind DN : cn=uia,cn=users,dc=hogehoge,dc=local Base : DC=hogehoge,DC=local Group Filter: (None) User Filter: (None) Servers : configured 1 servers 10.128.51.134(389) Last Action Time: 1080 secs ago(took 0 secs) Next Action Time: In 2520 secs Number of Groups: 3 cn=marketing,cn=users,dc=hogehoge,dc=local cn=tech,cn=users,dc=hogehoge,dc=local cn=sales,cn=users,dc=hogehoge,dc=local 21 2014, Palo Alto Networks. Confidential and Proprietary.
グループマッピングの状態確認 2 22. ユーザーが所属するグループの確認 CLI から show user user- IDs コマンドでユーザーが所属するグループを確認できます また match- user オプションでユーザーを検索索することも可能です admin@pa- 200> show user user- IDs User Name Vsys Groups - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - hogehoge\user1 vsys1 cn=marketing,cn=users,dc=hogehoge,dc=local hogehoge\user2 vsys1 cn=sales,cn=users,dc=hogehoge,dc=local hogehoge\user3 vsys1 cn=tech,cn=users,dc=hogehoge,dc=local Total: 3 admin@pa- 200> show user user- IDs match- user user1 User Name Vsys Groups - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - hogehoge\user1 Total: 3 vsys1 cn=marketing,cn=users,dc=hogehoge,dc=local 22 2014, Palo Alto Networks. Confidential and Proprietary.
グループマッピングの状態確認 3 23. セキュリティポリシー設定のグループ表 示 WebUI から Policies > セキュリティ > 追加 > ユーザー > 追加でグループがプルダウンでリスト表 示されます
グループマッピングの状態確認 4 24. セキュリティポリシー設定のユーザーリスト表 示 WebUI から Policies > セキュリティ > 追加 > ユーザー > 追加で検索索 文字列列を 入 力力するとマッチするユーザーやグループの候補を表 示させることができます
25 2014, Palo Alto Networks. Confidential and Proprietary.