Active Directoryとの連携によるユーザ識別機能
クイックスタートガイド
Sep 6, 2012
(Rev.4)Akira.Hayashi
本ガイドは Active Directoryを使⽤している環境に対して
Palo Alto Networks PAシリーズファイアウォール 及び User-ID
機能によるユーザ識別/制御を利⽤する際の導⼊/展開を迅速に⾏う
ことを⽬的として作成しました。
実環境に対する導⼊設計や導⼊/展開を⾏われる際は、本資料のほか
製品マニュアルや、次の技術参考資料を併せてご参照ください。
<⽇本語技術参考資料>
“アクティブディレクトリを使ったユーザ認証”
“UserID_troubleshoot_JP”
本ガイドについて
・ユーザ識別処理の対象と
なるセキュリティゾーン
に対してユーザ識別機能
のためのオプション設定
を⾏います
・Pan-agentとの連携に
必要な設定を⾏います
・WMI/NetBIOSポーリン
グを使⽤したユーザログ
アウト確認機能を使⽤す
る場合にのみWindows
クライアントの設定を⾏
います(オプション)
・個々のクライアントPCに
対して個別に設定を変更
する⽅法のほかADサーバ
側でグループポリシーオ
ブジェクト機能を使⽤し
ドメインに参加するクラ
イアントPCの設定を⼀括
して変更することも出来
ます
・ADドメインへの参加設定
を⾏います
・弊社が無償提供している
ユーザ識別処理⽤エー
ジェントソフトウェア
(pan-agent)をインスト
ールします
・ADサーバ及びPAファイア
ウォールとの連携に必要
な設定を⾏います
・Pan-agentとの連携に
使⽤する専⽤アカウント
の登録と権限付与などの
設定を⾏います
・ADドメインに参加する
Windowsクライアント
PCの設定⼀括変更を⾏う
場合はグループポリシー
オブジェクト管理コンソ
ールソフトウェアのイン
ストールと設定を⾏いま
す (オプション)
導⼊作業の流れと各ステップごとの作業概要は次の通りです。
導⼊作業の流れ
Windows AD
サーバ設定
Pan-agent
インストール
設定
Windows
クライアント
設定
PA Series
ファイアウォール
設定
Windows アクティブディレクトリ
サーバ設定
(Microsoft Windows Server 2003 R2)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定
1. Pan-agent⽤アカウントの作成
ユーザ識別エージェントサービス⽤アカウントを作成します。
作成したアカウントの所属グループに ”Domain Admins” を加えます。
※この例では ”uia” と⾔う名称のアカウントを作成
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定2. Pan-agent⽤アカウントに対する権限付与
ADサーバのセキュリティログ取得に必要な ”監査とセキュリティログの管理” 権限を
Pan-agent⽤アカウントに対して付与します。
1.管理ツール > ドメインセキュリティポリシーをオープンします。
2. “監査とセキュリティログの管理” 項⽬をダブルクリックし、”uia” アカウントを追加します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(作成したアカウントに対する権限付与)
WMIポーリングアクセス⼀括許可設定
(オプション)
デフォルトではWMIアクセスが許可されていないWindowsクライアントPCに対して
グループポリシー機能を使⽤して⼀括で設定変更を⾏う事が出来ます。
グループポリシー管理コンソールツールはOS導⼊時にインストールされないため、
マイクロソフト社のダウンロードサイトから⼊⼿しインストールする必要があります。
尚、WMIポーリング機能を使⽤しない場合は本作業は必要ありません。
1.次のURLからグループポリシー管理コンソール(GPMC)をダウンロードします。
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=ja ※上記のURL⼜はマイクロソフトダウンロードセンターウェブサイトで“GPMC”キーワードにて検索してください。2.ダウンロードしたファイルをダブルクリックして、ツールをインストールします。
※ツールのインストールによるシステム再起動は必要ありません。
3.グループポリシー管理コンソール(GPMC)を起動します。
C:¥>gpmc.msc
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
WMIポーリングアクセス⼀括許可設定
(オプション)
4.対象ドメインの ”Default Domain Policy” を右クリックし、編集を選択します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定
Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
WMIポーリングアクセス⼀括許可設定
(オプション)
5.コンピュータの構成 > 管理⽤テンプレート > ネットワーク > ネットワーク接続 > Windows
ファイアウォール > ドメインプロファイル メニューから ”リモート管理の例外を許可する”
項⽬をダブルクリックします。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
WMIポーリングアクセス⼀括許可設定
(オプション)
6.デフォルトの未構成から有効に変更し “OKボタン” を押します。
※安全性向上のため “要請されない着信メッセージを許可するアドレス” への許可IP設定を可能な限り
実施して下さい。(アドレス欄には UIA PCやWMI監視サーバのIP⼜はIPサブネットを記載)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
この項⽬に Pan-agentやWMIを使⽤する
監視サーバなどIPアドレスを定義すること
でWMI通信の許可に伴う安全性の低下を
最⼩限に留めることが可能
WMIポーリングアクセス⼀括許可設定
(オプション)
7.設定後の画⾯
設定変更後、ドメインに参加しているクライアントPCを再起動するか、⼜はデフォルトのグループポリシー
オブジェクト⾃動更新間隔である90分経過後、WMIポーリングアクセスが有効になります。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
NetBIOSポーリングアクセス⼀括許可設定
(オプション)
デフォルトではNetBIOSポーリングアクセスが許可されていないWindowsクライアン
トPCに対して、グループポリシー機能を使⽤して⼀括で設定変更を⾏う事が出来ます。
グループポリシー管理コンソールツールはOS導⼊時にインストールされないため、
マイクロソフト社のダウンロードサイトから⼊⼿しインストールする必要があります。
尚、WMIポーリング機能を使⽤しない場合は本作業は必要ありません。
1.次のURLからグループポリシー管理コンソール(GPMC)をダウンロードします。
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=ja ※上記のURL⼜はマイクロソフトダウンロードセンターウェブサイトで“GPMC”キーワードにて検索してください。2.ダウンロードしたファイルをダブルクリックして、ツールをインストールします。
※ツールのインストールによるシステム再起動は必要ありません。
3.グループポリシー管理コンソール(GPMC)を起動します。
C:¥>gpmc.msc
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
NetBIOSポーリングアクセス⼀括許可設定
(オプション)
4.対象ドメインの ”Default Domain Policy” を右クリックし、編集を選択します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定
Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
「注意」
この例では説明を簡素化するため ”Default Domain Policy” を直接編集していますが、通常は ”Default Domain Policy” への設定は⾏わず、新規にグループ ポリシーオブジェクトを作成し、作成したオブジェクトに対してポリシー定義を⾏った後グループポリシー適⽤対象のOUにリンクして使⽤します。
<参考URL>
NetBIOSポーリングアクセス⼀括許可設定
(オプション)
5.コンピュータの構成 > 管理⽤テンプレート > ネットワーク > ネットワーク接続 > Windows
ファイアウォール > ドメインプロファイル メニューから ”ファイルとプリンタの共有の例外を
許可する” 項⽬をダブルクリックします。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
NetBIOSポーリングアクセス⼀括許可設定
(オプション)
6.デフォルトの未構成から有効に変更し “OKボタン” を押します。
※運⽤上ファイルやプリンタの共有を許可していない場合は “要請されない着信メッセージを許可するアドレス”
項⽬に pan-agentのIPアドレスを設定します。(設定されたIPアドレスからの通信のみ受信)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
この項⽬に Pan-agentやファイルやプリン
タ共有の対象となるマシンのIPアドレスや
ネットワークアドレスを定義しておくこと
でファイルやプリンタ共有の許可に伴う
安全性の低下を最⼩限に留めることが可能
<Tips>Windows Vista OSはXPや7と異なりデフォルト ではファイル共有が有効になっていません。 このため、GPOを使⽤し ”ファイアウォールのフ ァイルとプリンタの共有の除外” を有効にしただ けでは NetBIOSによるポーリングを⾏うことが できません。 また、Microsoft社は今後NetBIOSではなくWMI を標準的に採⽤して⾏く予定になっていること から、WMIによるポーリングを使⽤されること をお勧めいたします。
NetBIOSポーリングアクセス⼀括許可設定
(オプション)
7.設定後の画⾯
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows ADサーバ設定
(クライアント設定⼀括変更 オプション設定)
Pan-agent のインストールと設定
(Microsoft Windows XP)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定[注意]
Windows Vista, Windows7, Windows2008 OSにおいて
UAC(ユーザ・アカウント制御)が有効になっている場合は
エージェント(サービス)のインストールや管理プログラム
が正しく動作しないため、UACの無効化またはエージェント
のインストール時および管理プログラムを"管理者として実⾏"
してください。
Active Directoryドメインへの参加 (インストール前準備)
Pan-agentを動作させるPCをActive Directory ドメインに参加させます。
※この例では ”panj-lab” ドメインに参加 (OS操作のため詳細説明は割愛)
Pan-agentのインストールと設定
(ADドメインへの参加)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agent ソフトウェアのインストール
1.管理者権限ユーザでシステムにログインし、Pan-agent ソフトウェアをダブルクリックし
ソフトウェアのインストールを実⾏します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(ソフトウェアのインストール)
Pan-agent のサービス起動設定
1.管理ツール > サービスを選択し、サービス管理画⾯を表⽰します。
2.”PanAgentService” をダブルクリックしてプロパティを開き、ログオンタブを選択します。
3.”アカウント(T):” をクリックし、ADサーバでPan-agent⽤に作成した(ドメイン名¥)ユーザ名
とパスワードを⼊⼒し、”OK” ボタンを押します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(Pan-agent サービス起動設定)
Pan-agent の設定
1.プログラムメニューから ”User Identification Agent” プログラム
を起動します。
2.メイン画⾯右上側にある “Configure” ボタンをクリックし設定画⾯を表⽰します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(Pan-agent の設定)
Pan-agent の設定
(続き)
3.Pan-agent の動作に必要な設定を⼊⼒し ”OK” ボタンを押します。
①
②
③
④
⑤
① … ADドメイン名
② … PAとの通信⽤ポート番号
※1024以上の番号を使⽤し
PA Firewall側設定と合わせる
③ … ADサーバIPアドレス
④ … ユーザ識別対象IPサブネット
⑤ … ユーザ識別対象外IPアドレス
(サーバやプリンタなどを登録)
オプション設定やタイマー値の変更は
基本的な動作確認が完了した後、
必要に応じて変更して下さい。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(Pan-agent の設定)
⑥
⑦
⑧
⑨
⑥ … ユーザ無通信時エントリ削除時間
※WMI/NetBIOS Probingが無効の場合
ユーザエントリは⾃動削除されない
⑦ … ADユーザ/グループ情報更新間隔
⑧ … ADサーバセキュリティログ
チェック間隔
⑨ … WMI/NetBIOSポーリング間隔
⑩ … ADサーバセッションテーブル
チェック間隔
Pan-agent の設定
(続き)
4.”Filter Group Members” ボタンを押し、ユーザ識別処理の対象に含めるアクティブ
ディレクトリのグループを選択し ”OK” ボタンを押します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(Pan-agent の設定)
Pan-agentの基本動作確認
1.主に2つの操作を⾏い、ADサーバとの接続状態確認を⾏います。
ファイアウォール側の設定が完了し、既にクライアントPCがドメインにログインしている場合
は、ユーザ名⇔IPアドレスのマッピング状態を確認する事が出来ます。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Pan-agentのインストールと設定
(動作確認)
Windows クライアントの設定
(Windows XP SP3 / Windows Vista SP2 / Windows 7 SP1)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定
Windowsクライアント設定の概要
ユーザ識別機能利⽤に際し、クライアントPCに対するソフトウェアのインストールや
特殊な設定を⾏う必要は特にありませんが、WMI/NetBIOSポーリングによるユーザ
ログアウト検出を⾏う場合はWindowsクライアント側の設定変更が必要になります。
このセクションでは、ユーザログアウトの検出に必要なWMI/NetBIOSポーリングを
許可するために必要なクライアント側の設定について説明していますが、多数のクライ
アントPCに対する個別の設定変更作業は作業⼯数の増⼤と作業ミス発⽣につながる恐れ
があるため、ADサーバ設定セクションで記載した ADのGPO(グループポリシーオブ
ジェクト)によるクライアントPCの⼀括設定変更機能を活⽤されることをお勧めします。
前提条件
ユーザ識別機能利⽤に対するWindowsクライアントPC前提条件は次の通りです。
1.Windowsドメインにログオンする環境で利⽤していること。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windowsクライアントの設定
(はじめに)
OS毎 デフォルト WMI/NetBIOSポーリング許可状態⼀覧
AD Svr設定 UIA 設定 PA 設定 Client PC 設定OS種別
WMI
NetBIOS
備考
Windows XP SP3
×
×
Windows Vista SP2
×
×
ファイル共有機能デフォルト無効
Windows 7 SP1
×
×
OSのデフォルト設定では WMI/NetBIOSによるポーリングアクセスが出来ないため、ユーザ
ログアウト検出を⾏う場合は必ずクライアントPCの設定変更作業を⾏う必要があります。
Windowsクライアントの設定
(OSデフォルト状態について)
Windows XP SP3 WMI ポーリング許可設定⽅法
1.管理者権限ユーザでログインし、コマンドプロンプトをオープンします。
2.リモート管理モードを有効にするためのコマンドを⼊⼒します。
○ 設定確認コマンド
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windowsクライアントの設定
(XP WMI ポーリング許可設定)
Windows XP SP3 NetBIOS ポーリング許可設定⽅法
1.管理者権限ユーザでログインし ネットワーク接続のプロパティで”
Microsoftネッ
トワーク⽤ファイルとプリンタ共有
” を有効にします。(デフォルト有効)
2.Windows ファイアウォールの例外設定で”
ファイルとプリンタの共有
”を有効に
します。
※他社製PCファイアウォールソフトウェアを使⽤している場合は上記設定と同様の設定を⾏って下さい。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定<ネットワーク接続プロパティ設定画⾯>
<Windowsファイアウォール例外設定画⾯>
Windowsクライアントの設定
(XP NetBIOS ポーリング許可設定)
Windows Vista SP2 WMI ポーリング許可設定⽅法
1.管理者権限ユーザでログインし、
コントロールパネル
>
ネットワークとインター
ネット
>
ネットワークと共有センター
>
Windowsファイアウォール
にある
”
設定の変更
” を開き、”
例外
” タブ選択後、”
リモート管理
” をチェックします。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows Vista SP2 NetBIOS ポーリング許可設定⽅法 (1/2)
1.管理者権限ユーザでログインし、
コントロールパネル
> (
ネットワークとインター
ネット)
>
ネットワークと共有センター
を開き、”
共有と探索
” メニューにある
”
ファイル共有
” を有効にします。(デフォルト無効)
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows Vista SP2 NetBIOS ポーリング許可設定⽅法 (2/2)
2.管理者権限ユーザでログインし、
コントロールパネル
>
ネットワークとインター
ネット
>
ネットワークと共有センター
>
Windowsファイアウォール
にある
”
設定の変更
” を開き、”
例外
” タブ選択後、”
ファイルとプリンタの共有
” を
チェックします。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定Windows 7 SP1 WMI ポーリング許可設定⽅法
1.管理者権限ユーザでログインし、
コントロールパネル
> (
ネットワークとインター
ネット)
>
ネットワークと共有センター
>
Windowsファイアウォール
にある
”
詳細設定
” を開き、画⾯左側メニュー内の”
受信の規則
” を選択後、”
Windows
Management Instrumentation (WMI受信)
” を有効化します。
AD Svr 設定 UIA 設定 PA 設定 Client PC 設定